Bitnami WordPress的堆栈SSH

Question

我有使用这个AMI实例 - AMI-b7a29cc3

http://thecloudmarket.com/image/ami-b7a29cc3--bitnami-wordpress-3-3-1-1-multisite-linux-ubuntu-10-04-ebs#/details

这是一个WordPress多站点Bitnami图像。

它的安装和启动很好，我设置了安全组SSH，HTTP，HTTPs。

但很奇怪的是，通过SSH连接无法正常工作，尽管前端工作正常。

我试过以下用户和命令无济于事，ubuntu，root和bitnami。

虽然当我运行命令时，我总是发现这样的奇怪现象。

d-Hewards-的MacBook-PRO：下载dheward $的ssh -i macbookpro.pem bitnami@176.34.127.170 @@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@警告：远程主机标识已更改！ @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@ 它可能是某人正在做某事的东西！ 现在有人可能会窃听你（中间人攻击）！ RSA主机密钥刚刚更改也是可能的。 远程主机发送的RSA密钥的指纹为 9f：85：89：8a：7a：9d：db：e0：15：e4：11：d0：e0：4b：74：a9。 请联系您的系统管理员。 在/Users/dheward/.ssh/known_hosts中添加正确的主机密钥以摆脱此消息。 /Users/dheward/.ssh/known_hosts:17中的违规密钥： 176.34.127.170的RSA主机密钥已更改，并且您请求严格检查。 主机密钥验证失败。 d-Hewards-的MacBook-PRO：下载dheward $

Answer 1

这是可能（即你需要阅读和理解我的解释后，这个自己去判断，否则您的安全确实是有风险！ ）通过Amazon EC2再加上同时稀缺的IP地址，再使用SSH的只是正常的行为（见IPv4 address exhaustion）：

背景

的SSH连接的服务器端需要鉴定者通过为RSA密钥提供的指纹进行验证，随后通过客户端SSH工具对其进行检查，以确保您不会成为Man-in-the-middle attack的受害者。

经常SSH过程

1. 您连接到一个新的SSH服务器首次
2. 新的服务器将其RSA密钥身份SSH客户端
3. SSH客户端要求您确认此服务器的身份，并将导入RSA密钥，以便将来进行安全检查（在您的案例中为/Users/dheward/.ssh/known_hosts）
   • 理想情况下，您会在安全通道上收到此RSA密钥以正确评估其有效性，版本，大多数人根本就没有做，在当今不断变化的云环境，见埃里克·哈蒙德的Poll: Verifying ssh Fingerprint on EC2 Instances
     • Eric的帖子中提到的选择原则来处理这个已经，即为了获得最佳的安全性，您应该请求实例控制台输出，并在日志中查找ssh主机密钥指纹，以验证它是否与ssh命令向您显示的指纹相同。
     • 此外，Eric在ssh host key paranoia中详细讨论了该主题。
   • 斯科特·莫泽已蒸馏大汇总如何实际Verify SSH Keys on EC2 Instances，并提供有关如何更新known_hosts文件反过来也说明。
4. 每次后续连接到相同的SSH服务器时，SSH客户端会将存储的RSA密钥与SSH服务器提供的密钥进行比较，如果密码更改通常会提示潜在的不安之处。 （我现在要跳过罕见的例外情况）
   • 这意味着，如果它突然发生变化（尤其是对于已连接到的主机已经没有这样的警告），那么您应该确实退出请立即评估情况，也就是说，如果您不知道更改的原因，则表示您的连接安全性存在风险

原因（即，您的经验）

您可能已经在EC2上执行了另一个SSH服务器的步骤1-4，该服务器正好与其池中的IP地址相同（即176.34.127.170）;虽然没有每天都遇到，但考虑到一般可用的IPv4地址数量有限，特别是亚马逊可用的相应池，随着时间的推移，这种情况几乎不可能发生。

现在，由于您连接到一个完全不同的服务器，那么首先存储RSA密钥的那个服务器（每个已启动的EC2实例都有一个唯一的身份标识），您的SSH客户端就会发出c and声，适当升级警告你正在看到。

此外，由于您[或您的系统管理员]要求严格检查，因此似乎完全禁止SSH访问。 （大多数桌面SSH客户端似乎要求确认就像在这种情况下默认情况下的第一次提交一样）。

解决方案

1. 让该死的肯定我你的经验说明实际适用于你的情况！
2. 按照已经警告消息给出的说明：

用于由远程主机发送的RSA密钥的指纹是 9F：85：89：8A：7A：9D：分贝：E0： 15：E4：11：D0：E0：4B：74：A9。请联系您的 系统管理员。 在 /Users/dheward/.ssh/known_hosts中添加正确的主机密钥以摆脱此消息。 冲突 键在/Users/dheward/.ssh/known_hosts:17 RSA主机密钥 176.34.127.170已更改，并且您请求严格检查。 [重点矿]

也就是说，在/Users/dheward/.ssh/known_hosts中维护的SSH RSA密钥缓存当前有一个IP地址为176.34.127.170的条目17，其中有一个不同的RSA密钥，然后是您正在尝试连接的IP地址为176.34.127.170的服务器提供的密钥 - 必须是如果你确定事实上没有中间人攻击（这是不太可能的，鉴于这是你刚刚委托的新主机，虽然如上文3所述），但你可能想要通过遵循斯科特·莫泽的指导来确保这个实际上如何Verify SSH Keys on EC2 Instances）。

祝你好运！