WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY

修复SSH远程主机识别变化问题
原创 已于 2023-06-02 09:36:15 修改 · 964 阅读 · 2 ·
CC 4.0 BY-SA版权
本文为博主原创文章,转载请注明出处。
文章标签:

#git #github #identification #remote host

于 2023-03-30 11:34:30 首次发布
当GitHub更新了RSASSH主机密钥导致识别变化时,用户可以通过删除旧密钥或生成新的ED25519或RSASSH密钥对来解决。推荐使用ED25519密钥,因其更安全且性能更好。生成新密钥涉及ssh-keygen命令,包括指定密钥类型和保存路径,可能需要设置密码。

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

前言

今天正常 git push 推送代码到 github 的时候,出现了下面的内容:

在这里插入图片描述

原因

发生这种情况是因为在 2023 年 3 月 24 日,GitHub 更新了用于保护 GitHub.com 的 Git 操作的 RSA SSH 主机密钥,因为私钥曾短暂暴露在公共 GitHub 存储库中。如果您在该日期之前记得 GitHub 在 SSH 客户端中的先前密钥指纹,您将收到该消息。

解决办法一

您需要通过运行以下命令删除存储的密钥:

$ ssh-keygen -R github.com

完成后,您可以重新运行 git 您尝试的命令。这时应该询问您是否信任新的 SSH 密钥。输入 yes 即可。

可能不同的客户端询问的次数也不一样,我这边询问了两次,我输入了两次 yes 以后就好了。

参考链接

解决办法二 【推荐】

总结方法二:就是生成并使用新的 ED25519 SSH 密钥。

生成并使用新的 SSH 密钥对

ED25519 SSH 密钥

Practical Cryptography With Go一书建议 ED25519 密钥比 RSA 密钥更安全、性能更好。

由于 OpenSSH 6.5 在 2014 年引入了 ED25519 SSH 密钥,它们应该可以在任何当前操作系统上使用。

您可以使用以下命令创建和配置 ED25519 密钥:

ssh-keygen -t ed25519 -C "<comment>"

带有引号注释 -C(如电子邮件地址)的标志是标记 SSH 密钥的可选方式。
您会看到类似于以下内容的响应:

Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/user/.ssh/id_ed25519):

第一个是问你密钥存放在哪个路径,默认是:~/.ssh/ 下面,后面又会问你设置密码,一路回车就完事了;

如需指导,请看下面第三项【生成 SSH 密钥对的常见步骤】。

这样你就得到了最新的 ED25519 SSH 密钥了。

RSA SSH 密钥

如果您为 SSH 使用 RSA 密钥,美国国家标准与技术研究所建议您使用至少 2048 位的密钥大小。默认情况下,该 ssh-keygen 命令会创建一个 1024 位 RSA 密钥。

您可以使用以下命令创建和配置 RSA 密钥,如果需要,可替换为推荐的最小密钥大小2048

ssh-keygen -t rsa -b 2048 -C "email@example.com"

带有引号注释 -C(如电子邮件地址)的标志是标记 SSH 密钥的可选方式。
您会看到类似于以下内容的响应:

Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa):

它这个问题也是:问你密钥存放在哪个路径,默认是:~/.ssh/ 下面,后面又会问你设置密码,一路回车就完事了;
如需指导,请看下面第三项【生成 SSH 密钥对的常见步骤】。

注意:如果您有 OpenSSH 版本 7.8 或更低版本,请考虑与编码相关的问题。

生成 SSH 密钥对的常用步骤

无论您是创建ED25519还是RSA密钥,您都是从 ssh-keygen 命令开始的。此时,您将在命令行中看到以下消息(针对 ED25519 密钥):

Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa):

如果您还没有 SSH 密钥对并且没有生成部署密钥,请接受建议的文件和目录。您的 SSH 客户端将使用生成的 SSH 密钥对,无需额外配置。

或者,您可以将新的 SSH 密钥对保存在不同的位置。您可以分配您选择的目录和文件名。您还可以将该 SSH 密钥对专用于特定主机。

在分配一个文件来保存您的 SSH 密钥后,您将有机会为您的 SSH 密钥设置一个密码:

Enter passphrase (empty for no passphrase):
Enter same passphrase again:

如果成功,您将看到 ssh-keygen 命令保存您的身份和私钥的位置的确认信息。

需要时,您可以使用以下命令更新密码:

ssh-keygen -p -f /path/to/ssh_key

每个 SSH 密钥算法的默认文件名

算法公钥私钥
ED25519(首选)id_ed25519.pubid_ed25519
RSA(至少 2048 位密钥大小)id_rsa.pubid_rsa
动态搜索广告(已弃用)id_dsa.pubid_dsa
ECDSAid_ecdsa.pubid_ecdsa

参考文档

Gitlab 文档 - 使用 SSH 密钥全攻略

Github 文档 - 生成新的 SSH 密钥并将其添加到 ssh-agent

——————————【完】——————————

开发板连接错误: WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
qq_39200110的博客
01-26 1391
出现错误。
修改目标机器ip后,使用scp命令进行ssh文件传输时,出现“WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!“的解决方案
weixin_45118229的博客
05-19 661
在虚拟机操作中,使用 scp 命令进行文件传输时,若远程主机的 IP 地址发生变更,系统会因主机标识不匹配而中断连接并发出安全警告。这是因为 SSH 客户端会将远程主机的标识信息存储在本地 ~/.ssh/known_hosts 文件中,当新 IP 的主机标识与旧记录不一致时,会触发警告。解决方法是使用 ssh-keygen -R 命令清除本地缓存的目标 IP 主机标识信息,然后重新连接并确认新的主机标识。通过这一步骤,可以恢复正常的文件传输和远程连接功能。
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY
t18438605018的博客
12-08 1776
1.问题描述 在用ssh连接远程服务器时,出现以下错误 C:\Users\AAA>ssh 用户名@ip @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT
git操作:WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! (警告:远程主机标识已更改!)...
weixin_34212762的博客
02-17 516
问题背景:   前几日,把云服务器系统由centos改成Ubuntu之后,重新搭建的git服务器环境。 问题描述:   从本机不能clone远程git仓库。      报错如下: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION...
git报错WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
jj89929665的博客
12-07 2321
命令来删除 known_hosts 文件中这个主机的旧公钥,然后再次连接这个主机,SSH 客户端会将这个主机的新公钥保存到 known_hosts 文件中。,欢迎大家加入我的开源项目,或者(在我的主页联系我)加入你们的开源项目,点点Github-Stars。也就是SSH密钥或者SSH证书发生了变化。
解决:WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING
timerring的博客
08-03 2万+
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for
OpenSSH: WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
shunzi2016的博客
04-10 450
删掉known_hosts提示的21行。警告:远程主机标识已更改!
解决“WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!”问题
SpadgerZ的博客
12-02 371
问题描述 之前实验室的服务器被黑客攻击过,又重装了系统,现在重新申请了账户密码要远程登录时报错 xxx@xxx:~$ ssh xxx@xxx.xxx.xx.xxx @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
windows/mac远程连接linux服务器报错:WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
Lyndsey的博客
11-11 492
前情介绍: 由于实验室服务器升级更新,重装了ubuntu系统,导致所有与原系统建立过ssh连接的系统都无法再建立连接。 报错如下: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@...
解锁新技能《Git本地访问GitHub出现WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!警告》
OceanSky的专栏
03-25 1763
问题原因是SSH会把每个曾经访问过的Git服务器的公钥记录在/Users/xx/.ssh/known_hosts文件中,当下次访问时会核对公钥,如果和上次的记录不同,SSH就会发出警告。解决方法:直接删除/Users/xx/.ssh/known_hosts文件。
解决WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING
gl620321的博客
08-09 708
SSH配置后,无法拉取项目
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
m0_73694897的博客
03-21 928
a电脑ssh连接局域网内另一台ubuntu20.04电脑b。a电脑系统:ubuntu20.04b电脑系统:ubuntu20.04。
SSH连接错误WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
我有一个魔盒的博客
08-24 928
原因:目标主机发生变化(比如更换机器),导致目标主机ECDSA密钥发生更改。 解决办法:(目标主机安全的前提下)删除旧的秘钥,重新连接。 Windows 根据提示打开密钥存储文件,删除错误的ip那一行(存储路径在报错中会给出,例:C:\Users\xiaoming.ssh\known_hosts) 文件内容: Linux(Ubuntu18) 报错: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOT
GitWARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
不想睡觉的橘子君的博客
04-03 668
我们使用git去第一次拉代码时,git会将访问的服务器的地址(域名/ip)和其公钥记录在C盘中的用户/用户名/.ssh/knwn_hosts文件中。此后我们去拉代码时,git就会去known_hosts文件中比对地址和公钥是否正确,不正确就会报上述的错误。我使用的方法比较简单,直接将文件删除[1]。这样拉代码时,所有的项目都会问一次是否连接至XXX。此外还有一些文章提到可以使用命令[2,3]来重置,但是我没弄出来,如果下次有需要我会再试试的。
GitWARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
咔咔博客
03-25 1202
问题还原 解决方案 删除这个文件,然后重新git pull即可
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED
benben的博客
04-15 694
git pull代码出现下面提示 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someo
解决:githubWARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
热门推荐
scoful的专栏
04-03 5万+
最有意思的来了,百度和谷歌的搜索结果,百度搜出来的,虽然也能解决问题,但是不告诉你原因,我这应该是第一个说明事故发生的原因的吧,狗头保护我自己。然后谷歌,直接把原因给置顶了,真的是没有对比就没有伤害啊,狗头。原因其实很简单,就是github自己出事故了,不小心把他们的私钥公开了,然后处于谨慎原因就直接改了公钥,所以才会有题目这个报错,感兴趣的可以点下面这个链接去看看原文。第一反应是电脑被黑了,传说中的中间人攻击(题外话一下,其实所有的代理软件都算是中间人哦~),稍微检查了一下,应该不是。
gitWARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
ZeroJsus的技术黑板
05-30 746
REMOTE HOST IDENTIFICATION HAS CHANGED!
Git警告:WARNING:REMOTE HOST IDENTIFICATION HAS CHANGED!
xddcore的博客
02-02 1360
Git警告:WARNING:REMOTE HOST IDENTIFICATION HAS CHANGED! IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone clould… 以下省略一万字… 问题分析:远程仓库的host信息发生变化,和.ssh/known_hosts里面存的信息有差异。(Git第一行提醒你有人干坏事了...
nvidia@192.168.42.140:/home/nx/hs WARNING: REMOTE HOST IDENTIFICATION HAS CHANCEDI IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHINC NASTY] someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the renote host is SHA256:nXHHCw+Ctw2iH3ARs6AD6S+UT4eEat9zeFChl1oERh8. Please contact your system administrator. Add correct host key in /home/zny/.ssh/known hosts to get rid of this message. Offending ECDSA key in /home/zny/.ssh/known_hosts:4 remove with: ssh-keygen -F "/home/zny/.ssh/known_hosts"-R"192,168.42.140" ECDSA host key for 192.168.42.140 has changed and you have requested strict checking. Host key verification failed. lost connection
最新发布
08-27
<think>我们正在解决SSH连接时因主机密钥变更导致的主机验证失败问题。用户遇到的问题是:当尝试SSH连接时,出现警告“Warning: Remote Host Identification Has Changed”或“Host key verification failed”,这通常是因为远程主机的密钥发生了改变(例如,重装系统、更换服务器等),导致本地存储的旧密钥与新的不匹配。 根据引用[1]和引用[3]中的信息,我们可以通过移除本地known_hosts文件中对应的旧密钥记录来解决这个问题。具体步骤如下: ### 解决方法 #### 步骤1:识别问题 当尝试连接时,会收到类似下面的错误信息: ``` @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Please contact your system administrator. Add correct host key in /home/username/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/username/.ssh/known_hosts:1 ``` 错误信息中会指出是哪个主机(IP或域名)以及known_hosts文件中的哪一行(例如上面的`Offending ... known_hosts:1`表示第1行)。 #### 步骤2:删除旧密钥记录 打开终端,使用以下命令删除known_hosts文件中对应主机的旧记录: ```bash ssh-keygen -R [hostname_or_IP] ``` 例如,如果主机IP是192.168.56.101,则运行: ```bash ssh-keygen -R 192.168.56.101 ``` 此命令会从`~/.ssh/known_hosts`中删除该主机的所有密钥记录。 #### 步骤3:重新连接并接受新密钥 再次尝试连接: ```bash ssh username@hostname_or_IP ``` 此时,SSH会提示你接受新的主机密钥(类似于引用[3]中的提示): ``` The authenticity of host '192.168.56.101 (192.168.56.101)' can't be established. ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Are you sure you want to continue connecting (yes/no)? ``` 输入`yes`,新的主机密钥将被添加到`known_hosts`文件中。 ### 安全注意事项 1. **验证密钥变更的合法性**:在删除旧密钥并接受新密钥之前,务必确认主机密钥变更的原因。如果是预期内的变更(如服务器迁移、重装系统),则可以安全操作。如果无法确认,则可能存在中间人攻击[^1]。 2. **使用公钥认证**:为了提高安全性,建议使用SSH公钥认证(如引用[2]和引用[4]所述),避免使用密码登录。公钥认证不仅更安全,而且更方便。 ### 进阶:手动编辑known_hosts文件 如果知道具体行号,也可以手动编辑`~/.ssh/known_hosts`文件,删除对应行: ```bash nano ~/.ssh/known_hosts ``` 然后找到错误信息中提示的行号(例如`Offending ... known_hosts:1`)并删除该行。 ### 预防措施 - 定期更新服务器SSH主机密钥(但需注意更新后所有客户端都需要重新接受新密钥)。 - 在服务器端,确保SSH服务配置正确,避免不必要的密钥变更。 ### 故障排除 如果问题仍然存在,检查以下方面: - 确认主机名或IP地址没有输入错误。 - 检查网络环境是否安全,确保没有中间人攻击。 - 检查服务器SSH服务是否正常运行。 通过以上步骤,应该能够解决SSH连接时因主机密钥变更导致的验证失败问题。 ### 相关问题 1. 如何更新SSH服务器的主机密钥? 2. SSH公钥认证的配置步骤是什么? 3. 如何防止SSH连接中的中间人攻击?</think>### 解决SSH连接时主机密钥变更的验证失败问题 当SSH客户端检测到远程主机密钥变更时,会触发安全警告并阻止连接。这通常发生在服务器重装、IP地址变更或中间人攻击等场景。以下是完整解决方案: #### 方法一:安全移除旧密钥记录(推荐) ```bash # 清除指定主机的旧密钥记录 ssh-keygen -R [hostname_or_IP] # 示例:清除192.168.56.101的记录 ssh-keygen -R 192.168.56.101 ``` 此命令会从`~/.ssh/known_hosts`文件中精确删除目标主机的旧指纹[^1]。 #### 方法二:手动编辑known_hosts文件 1. 定位问题行: ```bash # 错误信息会显示具体行号(如Offending ECDSA key in ... line 5) grep "192.168.56.101" ~/.ssh/known_hosts -n ``` 2. 删除对应行: ```bash sed -i '5d' ~/.ssh/known_hosts # 删除第5行 ``` #### 方法三:临时接受新密钥(非永久方案) ```bash ssh -o StrictHostKeyChecking=no user@hostname ``` ⚠️ 仅限可信网络环境使用,会绕过安全验证[^3]。 --- ### 关键安全验证步骤 1. **指纹比对**: - 服务器端获取新指纹: ```bash ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key.pub ``` - 对比客户端显示的指纹: ``` SHA256:p4ZGs+YjsBAw26tn2a+HPkga1dPWWAWX+NEm4Cv4I9s [^3] ``` 2. **强制接受新密钥**: ```bash ssh -o "StrictHostKeyChecking accept-new" user@hostname ``` 此命令只接受未知主机,拒绝已变更密钥的主机[^1]。 --- ### 安全增强措施 1. **密钥轮换监控**: ```bash # 定期检查密钥变更 ssh-keygen -F example.com -f ~/.ssh/known_hosts | grep -A2 "found" ``` 2. **使用证书认证**: ```bash # 服务器配置 echo "@cert-authority *.example.com ssh-rsa AAAAB3Nz..." > /etc/ssh/trusted-user-ca-keys.pub ``` 通过证书颁发机构(CA)自动信任主机[^4]。 3. **配置自动化更新**: ```bash # 在~/.ssh/config中添加 Host * UpdateHostKeys yes VisualHostKey yes ``` 自动更新有效密钥并显示指纹图[^2]。 --- ### 典型错误场景分析 ```terminal Warning: Permanently added '192.168.56.101' (ECDSA) to the list of known hosts. ``` ✅ **正常情况**:首次连接新主机 ❌ **异常情况**:相同IP提示此信息表明密钥已变更[^3] ```terminal Host key verification failed. ``` ❌ **必须人工干预**:表明密钥与本地记录不匹配[^1] --- ### 企业级解决方案 1. **通过SSHFP DNS记录验证**: ```bash # 查询DNS记录 dig +short SSHFP example.com ``` 在DNS中发布主机密钥指纹实现自动验证[^4]。 2. **使用HashiCorp Vault动态密钥**: ```bash # 生成临时证书 vault write ssh/sign/ubuntu public_key=@$HOME/.ssh/id_rsa.pub ``` 通过集中式密钥管理实现自动轮换[^2]。 > **最佳实践**:生产环境应结合证书认证+SSHFP DNS+自动化监控,避免人工管理密钥[^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值