Вопросы Теги

Конфигурирование ssh цифровые отпечатки на DNS для замены сбоев known_hosts

Точка RAID с дублированием - то, что это будет продолжать идти, пока это может, но очевидно это обнаружит ошибки, которые помещают его в ухудшенный режим, такой как сбойный диск. Можно показать текущий статус массива с mdadm -D:

# mdadm -D /dev/md0

       0       8        5        0      active sync   /dev/sda5
       1       8       23        1      active sync   /dev/sdb7

Кроме того, статус возврата mdadm -D является ненулевым, если существует какая-либо проблема, такая как неудавшийся компонент (1, указывает на ошибку, которую компенсирует режим RAID, и 2 указывает на полный отказ).

Можно также получить быструю сводку всего состояния устройства RAID путем взгляда на /proc/mdstat. Можно получить информацию об устройстве RAID в /sys/class/block/md*/md/* также; посмотрите Documentation/md.txt в документации ядра. Некоторые /sys записи перезаписываемы также; например, можно инициировать полную проверку md0 с echo check >/sys/class/block/md0/md/sync_action.

В дополнение к этим выборочным проверкам mdadm может уведомить Вас, как только что-то плохо происходит. Удостоверьтесь, что Вы имеете MAILADDR root в /etc/mdadm.conf (некоторые дистрибутивы (например, Debian) настраивают это автоматически). Затем Вы получите уведомление по электронной почте, как только ошибка (ухудшенный массив) происходит.

Удостоверьтесь, что Вы действительно получаете почту, отправляют к корню на локальной машине (некоторые современные дистрибутивы опускают это, потому что они полагают, что вся электронная почта проходит внешних поставщиков — но получающий местную почту необходимо для любого серьезного системного администратора). Протестируйте это путем отправки корню почты: echo hello | mail -s test root@localhost. Обычно, надлежащая почтовая установка требует двух вещей:

  • Выполните MTA на своей локальной машине. MTA должен быть настроен, по крайней мере, для разрешения доставки местной почты. Все дистрибутивы идут с подходящим MTAs, выбирают что-либо (но не nullmailer, если Вы хотите, чтобы электронная почта была поставлена локально).

  • Почта перенаправления, идущая в системные учетные записи (по крайней мере, root) к адресу, который Вы регулярно читаете. Это может быть Вашей учетной записью на локальной машине или внешним адресом электронной почты. С большей частью MTAs адрес может быть настроен в /etc/aliases; у Вас должна быть строка как

    root: djsmiley2k

    для локальной доставки, или

    root: djsmiley2k@mail-provider.example.com

    для удаленной доставки. При выборе удаленной доставки удостоверьтесь, что MTA настроен для этого. В зависимости от Вашего MTA Вы, возможно, должны работать newaliases команда после редактирования /etc/aliases.

12
03.01.2013, 03:47
3 ответа

По-видимому, мои проблемы были вызваны двумя различными проблемами.

Выпуск № 1 SSHFP не поддерживает пути поиска использования. Таким образом, если бы Вы добавляете "домен example.com" к/etc/resolv.conf затем, Вы ожидали бы, что ssh myhost будет работать с SSHFP, так как регулярный ssh правильно разрешит имя к myhost.example.com. По-видимому, OpenBSD devs знает о проблеме, так как патч был выпущен 2 года назад, но это никогда не применялось. Вместо этого взлом ssh_config был предложен, но это, кажется, не работает также. Таким образом, решение первого выпуска состоит в том, что FQDN должен всегда использоваться с SSHFP.

Выпуск № 2 Используя FQDNs для решения предыдущей проблемы все работает, если я использую текущую версию клиента OpenSSH, который является OpenSSH_6.1. Клиент OpenSSH_5.8p2 в моей системе FreeBSD может, находят записи SSHFP для нового сервера OpenSSH_6.1, но это не может соответствовать цифровому отпечатку, который это получает от DNS с тем, который это получает от сервера. Клиент OpenSSH_5.9p1 на моем OS X 10.8.2 машин не может даже получить записи SSHFP для нового сервера OpenSSH_6.1 несмотря на то, чтобы быть никогда версия клиента, чем машина FreeBSD. Очевидно, это не может соответствовать несуществующим записям SSHFP цифровому отпечатку, возвращенному сервером OpenSSH. Наконец, ssh-keygen на поле FreeBSD производит плохие записи SSHFP по словам клиентов OpenSSH_6.1, которые жалуются на нападение MITM, так как они не соответствуют цифровому отпечатку, возвращенному сервером. Решение, кажется, что необходимо выполнить текущую версию обоих клиентов и серверов OpenSSH для SSHFP для работы. Используя более старую версию или клиента или сервера напрашивается на неприятности.

Последние мысли Используя SSHFP с DNS, по-видимому, слишком ультрасовременны, чтобы использоваться в смешанной среде ОС и иметь, все "просто работает", так как non-OpenBSD ОС имеет к порту OpenSSH, портативному, который устарел к тому времени, когда это портировано. Возможно, в 3-5yrs, SSHFP будет достаточно стабилен, что даже более старые версии, которые портированы к другому OSs, также будут стабильны и совместимы с последней версией.

5
27.01.2020, 19:56
  • 1
    Несмотря на то, что OS X (10.9) теперь включает 6. X версий OpenSSH, SSHFP все еще не работает из-за поврежденной реализации OS X, как сообщается GitHub. Замена с другим клиентом OpenSSH такой как один от MacPorts в настоящее время является единственным решением. –  Michael Yasumoto 03.03.2014, 11:36
[113667] Имя хоста сервера, к которому подключается SSH, должно точно совпадать с именем хоста в записи SSHFP. То есть, недостаточно, чтобы два имени хоста разрешились в один и тот же IP-адрес. Таким образом, [114151]ssh www[114152] не будет работать для SSHFP, которые предназначены для www.test.us., если только www не находится в вашей SSH-конфигурации так:

shopt -s checkwinsize
Попробуйте [114153]ssh www.test.us[114154].[113670].
0
27.01.2020, 19:56

Вам необходимо указать имя файла открытого ключа службы, для которой вы создаете записи DNS. В противном случае он будет использовать ваш личный файл (ы) открытого ключа из .ssh / *. Pub в качестве запасного варианта по умолчанию. 

ssh-keygen -r vm1.test.us -f /etc/ssh/ssh_host_rsa_key.pub
0
27.01.2020, 19:56

Теги

Похожие вопросы