Bitnami WordPress的堆棧SSH

Question

我有使用這個AMI實例 - AMI-b7a29cc3

http://thecloudmarket.com/image/ami-b7a29cc3--bitnami-wordpress-3-3-1-1-multisite-linux-ubuntu-10-04-ebs#/details

這是一個WordPress多站點Bitnami圖像。

它的安裝和啓動很好，我設置了安全組SSH，HTTP，HTTPs。

但很奇怪的是，通過SSH連接無法正常工作，儘管前端工作正常。

我試過以下用戶和命令無濟於事，ubuntu，root和bitnami。

雖然當我運行命令時，我總是發現這樣的奇怪現象。

d-Hewards-的MacBook-PRO：下載dheward $的ssh -i macbookpro.pem bitnami@176.34.127.170 @@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@警告：遠程主機標識已更改！ @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@ 它可能是某人正在做某事的東西！ 現在有人可能會竊聽你（中間人攻擊）！ RSA主機密鑰剛剛更改也是可能的。 遠程主機發送的RSA密鑰的指紋爲 9f：85：89：8a：7a：9d：db：e0：15：e4：11：d0：e0：4b：74：a9。 請聯繫您的系統管理員。 在/Users/dheward/.ssh/known_hosts中添加正確的主機密鑰以擺脫此消息。 /Users/dheward/.ssh/known_hosts:17中的違規密鑰： 176.34.127.170的RSA主機密鑰已更改，並且您請求嚴格檢查。 主機密鑰驗證失敗。 d-Hewards-的MacBook-PRO：下載dheward $

Answer 1

這是可能（即你需要閱讀和理解我的解釋後，這個自己去判斷，否則您的安全確實是有風險！ ）通過Amazon EC2再加上同時稀缺的IP地址，再使用SSH的只是正常的行爲（見IPv4 address exhaustion）：

背景

的SSH連接的服務器端需要鑑定者通過爲RSA密鑰提供的指紋進行驗證，隨後通過客戶端SSH工具對其進行檢查，以確保您不會成爲Man-in-the-middle attack的受害者。

經常SSH過程

1. 您連接到一個新的SSH服務器首次
2. 新的服務器將其RSA密鑰身份SSH客戶端
3. SSH客戶端要求您確認此服務器的身份，並將導入RSA密鑰，以便將來進行安全檢查（在您的案例中爲/Users/dheward/.ssh/known_hosts）
   • 理想情況下，您會在安全通道上收到此RSA密鑰以正確評估其有效性，版本，大多數人根本就沒有做，在當今不斷變化的雲環境，見埃裏克·哈蒙德的Poll: Verifying ssh Fingerprint on EC2 Instances
     • Eric的帖子中提到的選擇原則來處理這個已經，即爲了獲得最佳的安全性，您應該請求實例控制檯輸出，並在日誌中查找ssh主機密鑰指紋，以驗證它是否與ssh命令向您顯示的指紋相同。
     • 此外，Eric在ssh host key paranoia中詳細討論了該主題。
   • 斯科特·莫澤已蒸餾大彙總如何實際Verify SSH Keys on EC2 Instances，並提供有關如何更新known_hosts文件反過來也說明。
4. 每次後續連接到相同的SSH服務器時，SSH客戶端會將存儲的RSA密鑰與SSH服務器提供的密鑰進行比較，如果密碼更改通常會提示潛在的不安之處。 （我現在要跳過罕見的例外情況）
   • 這意味着，如果它突然發生變化（尤其是對於已連接到的主機已經沒有這樣的警告），那麼您應該確實退出請立即評估情況，也就是說，如果您不知道更改的原因，則表示您的連接安全性存在風險

原因（即，您的經驗）

您可能已經在EC2上執行了另一個SSH服務器的步驟1-4，該服務器正好與其池中的IP地址相同（即176.34.127.170）;雖然沒有每天都遇到，但考慮到一般可用的IPv4地址數量有限，特別是亞馬遜可用的相應池，隨着時間的推移，這種情況幾乎不可能發生。

現在，由於您連接到一個完全不同的服務器，那麼首先存儲RSA密鑰的那個服務器（每個已啓動的EC2實例都有一個唯一的身份標識），您的SSH客戶端就會發出c and聲，適當升級警告你正在看到。

此外，由於您[或您的系統管理員]要求嚴格檢查，因此似乎完全禁止SSH訪問。 （大多數桌面SSH客戶端似乎要求確認就像在這種情況下默認情況下的第一次提交一樣）。

解決方案

1. 讓該死的肯定我你的經驗說明實際適用於你的情況！
2. 按照已經警告消息給出的說明：

用於由遠程主機發送的RSA密鑰的指紋是 9F：85：89：8A：7A：9D：分貝：E0： 15：E4：11：D0：E0：4B：74：A9。請聯繫您的 系統管理員。 在 /Users/dheward/.ssh/known_hosts中添加正確的主機密鑰以擺脫此消息。 衝突 鍵在/Users/dheward/.ssh/known_hosts:17 RSA主機密鑰 176.34.127.170已更改，並且您請求嚴格檢查。 [重點礦]

也就是說，在/Users/dheward/.ssh/known_hosts中維護的SSH RSA密鑰緩存當前有一個IP地址爲176.34.127.170的條目17，其中有一個不同的RSA密鑰，然後是您正在嘗試連接的IP地址爲176.34.127.170的服務器提供的密鑰 - 必須是如果你確定事實上沒有中間人攻擊（這是不太可能的，鑑於這是你剛剛委託的新主機，雖然如上文3所述），但你可能想要通過遵循斯科特·莫澤的指導來確保這個實際上如何Verify SSH Keys on EC2 Instances）。

祝你好運！