Как понять порядок между раскрытиями?

Я думаю, он должен заставить работать CheckHostIP .

Если для этого флага установлено значение «да», ssh (1) дополнительно проверит IP-адрес хоста в файле known_hosts . Это позволяет ssh определять, изменился ли ключ хоста из-за подмены DNS.Если для параметра установлено значение «нет», проверка выполняться не будет. По умолчанию - «да».

С помощью этой опции вы получаете немного лучшую диагностику в случае неправильной конфигурации или атаки, но на самом деле это не улучшает безопасность каким-либо способом, о котором я могу думать.

Если вы отключите CheckHostIP , тогда SSH (начиная с OpenSSH 6.7p1) не будет записывать IP-адрес, когда вы подключаетесь к новому хосту по имени. Поэтому добавьте это в свой .ssh / config :

CheckHostIP no

. Вы можете добавить его в раздел Host , если хотите отключить его только для определенного хоста (особенно для хоста с динамический IP-адрес).