Bitnami Wordpress堆栈SSH

Question

我有一个使用这个AMI - ami-b7a29cc3的实例

http://thecloudmarket.com/image/ami-b7a29cc3--bitnami-wordpress-3-3-1-1-multisite-linux-ubuntu-10-04-ebs#/details

这是一个Wordpress多站点Bitnami图像。

它的安装和启动都很好，我已经设置了安全组SSH，HTTP，HTTPs。

但是奇怪的是，尽管前端工作得很好，但是通过SSH连接却不起作用。

我尝试了以下用户和命令，ubuntu、root和bitnami都没有用。

当我运行这个命令的时候，我总是得到一些奇怪的事情发生。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING:远程主机标识已更改！@@可能是有人在做一些下流的事情！现在可能有人在偷听你(中间人攻击)！也有可能是RSA主机密钥刚刚被更改。远程主机发送的RSA密钥的指纹是9f:85:89:8a:7a:9d:db:e0:15:e4:11:d0:e0:4b:74:a9.请联系您的系统管理员。在/Users/dheward/.ssh/known_hosts中添加正确的主机密钥以删除此消息。/Users/dheward/.ssh/known_hosts:17 176.34.127.170的RSA主机密钥已更改，您已请求严格检查。主机密钥验证失败。D-Hewards-MacBook-Pro:下载dheward$

Answer 1

这是可能的(即，您需要在阅读和理解我的解释后自行判断，因为否则您的安全确实会处于危险之中！)只是SSH的正常行为，加上Amazon EC2 (请参阅IPv4 address exhaustion)对同时稀缺的IP地址的重用：

背景

您的SSH连接的服务器端需要通过提到的RSA密钥的指纹来标识自己，然后由您的客户端SSH工具进行检查，以确保您不会成为Man-in-the-middle attack的受害者。

常规SSH进程

1. 您第一次连接到新的SSH服务器
2. 新服务器向您的SSH客户端
3. 呈现其RSA密钥身份SSH客户端要求您确认此服务器身份，并将依次导入RSA密钥以进行将来的安全检查(在您的情况下为/Users/dheward/.ssh/known_hosts )
   • 理想情况下，您已在安全通道上收到此RSA密钥以正确评估其有效性，但是，大多数人在当今不断变化的云环境中根本不会这样做，请参阅Eric Hammond的<代码>C14<代码>F115<代码>H116Eric的帖子已经在原则上解决了这一问题，也就是说，为了获得最佳的安全性，您应该请求实例控制台输出，并在日志中找到ssh主机密钥指纹，以验证它与ssh command.
   • Furthermore，提供给您的指纹是否相同。Eric在ssh host key paranoia.

中详细讨论了这个主题。

​

- Scott Moser has distilled a great summary how to actually [Verify SSH Keys on EC2 Instances](http://ubuntu-smoser.blogspot.com/2010/07/verify-ssh-keys-on-ec2-instances.html) and provides instructions on how to update your `known_hosts` file in turn as well.

​

1. 在每次连接到同一个SSH服务器时，你的SSH客户端会将存储的RSA key与SSH服务器提供的密钥进行比较，如果它改变了，就会给出一个很大的警告，说明它可能很糟糕，因为它通常不应该(我现在跳过少数例外)
   • 这意味着，如果它突然改变(，特别是对于你已经连接到的主机的，没有这样的警告)，你确实应该立即退出，并首先评估情况，即如果你不知道改变的原因，您的连接安全级别为risk

​

原因(即你的经验)

您可能已经对EC2上的另一个SSH服务器执行了一次步骤1-4，碰巧它们的池中有完全相同的IP地址(即176.34.127.170)；虽然不是每天都会遇到，但随着时间的推移，这几乎是不太可能的，因为IPv4地址的数量通常是有限的，特别是亚马逊可用的各个池。

现在，由于您连接到的服务器与存储RSA密钥的服务器完全不同(每个已启动的EC2实例都具有各自唯一的标识)，因此您的SSH客户端会发出错误，并显示您看到的正确升级的警告。

此外，在这种情况下似乎完全不允许SSH访问，因为您或您的系统管理员已经要求严格检查。(大多数桌面SSH客户端似乎都会要求确认，就像默认情况下第一次提交时一样)。

解决方案

1. Make非常确定，我对你的经验的解释实际上已经适用于你的situation!
2. Follow，警告消息中给出的说明已经：

远程主机发送的RSA密钥的指纹为9f:85:89:8a:7a:9d:db:e0:15:e4:11:d0:e0:4b:74:a9.

请联系您的系统管理员。在/Users/dheward/.ssh/known_hosts中添加正确的主机密钥以删除此消息。176.34.127.170的/Users/dheward/.ssh/known_hosts:17 主机密钥中的RSA冲突密钥已更改，您已请求严格检查。强调我的

也就是说，/Users/dheward/.ssh/known_hosts中维护的SSH RSA密钥缓存当前有一个IP地址为176.34.127.170的17号条目，该条目的RSA密钥不同于您当前尝试连接的IP地址为176.34.127.170的服务器提供的密钥-这必须进行调整，如果您确定实际上没有中间人攻击(这是不太可能的，因为这是您刚刚委托的新主机，尽管如上文3中所述)，您可能希望遵循Scott Moser的说明来确保这一点:如何实际Verify SSH Keys on EC2 Instances)。

祝好运!