Menü Schließen

SSH Fehlermeldung The authenticity of host cant be established

Unix Shell

Wenn sich der Hostname oder die IP-Adresse eines Host ändert und man danach mittels ssh auf diesen zugreifen möchte, kommt es zu folgender Meldung:

SSH: The authenticity of host <host> can’t be established …
ECDSA key fingerprint is xxxxx.
Are you sure you want to continue connecting (yes/no)?

Diese Meldung ist aus Sicherheitsgründen auch völlig ok, denn SSH prüft die Identität des Hosts auf Grund der bekannten Hosts in der ~/.ssh/known_hosts Datei. Sollte sich hier der Fingerprint, also z.B. auf Grund einer Änderung der IP-Adresse , geändert haben, dann kommt es zu dieser Meldung. Damit der angesteuerte Host nun wieder in die Datei der bekannten Hosts aufgenommen wird, kann man folgendes ausführen:

SSH – Anzeigen der Key-Informationen eines Hosts

# ssh-keyscan <hostname>

SSH – entfernen eines Hosts aus den known_hosts

# ssh-keygen -R <hostname> && ssh-keygen -R <IP-Adresse>
/root/.ssh/known_hosts updated.
Original contents retained as /root/.ssh/known_hosts.old

SSH – alternative Methode zum Host entfernen

Dies ist die Meldung in der Konsole:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for <hostname> has changed,
and the key for the corresponding IP address 127.0.0.1
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/user/.ssh/known_hosts:6
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Hier wird die Zeile angezeigt in der der Host in der known_host Datei steht. Diese kann auch wie folgt entfernt werden:

# sed -i ‚6d‘ ~/.ssh/known_hosts

SSH – Zertifikat erneut kopieren

Sollte man die Verbindung zuvor mittels Zertifikat geregelt haben, hier eine Anleitung, dann muss dieses neu hinterlegt werden. Dafür folgendes durchführen:

  1. altes vom Zielhost entfernen: # rm ~/.ssh/authorized_keys
  2. aktuelles vom Host erneut kopieren: # ssh-copy-id -i id_rsa.pub root@<hostname>

2 Kommentare

  1. B.Eberle

    Guten Tag,
    ich bin gerade auf ihren Artikel gestoßen und wollte fragen ob sie mir da evtl. weiter helfen könnten. Ich habe vor kurzem einen Raspberry Pi 3 b bei mir Zuhause installiert und wollte per ssh auf ihn zugreifen, da meine externe Tastatur gerade kaputt ist. Also habe ich ssh auf dem Raspberry aktiviert und konnte auch normal darauf zugreifen.
    Leider habe ich dann die Tage dass gerade geänderte Passwort dazu vergessen bzw. verloren. Ich habe versucht das Passwort zurückzusetzen, was anscheinend aber nur mittels einer Tastatur am Raspberry funktioniert. Die tage wollte ich nochmal ein evtl. für den Raspberry verwendetes Passwort versuchen, bekam dann aber immer folgende Fehlermeldung:

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    @ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    The ECDSA host key for raspberrypi.local has changed,
    and the key for the corresponding IP address xxxxx
    is unknown. This could either mean that
    DNS SPOOFING is happening or the IP address for the host
    and its host key have changed at the same time.
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
    Someone could be eavesdropping on you right now (man-in-the-middle attack)!
    It is also possible that a host key has just been changed.
    The fingerprint for the ECDSA key sent by the remote host is
    xxxxx.
    Please contact your system administrator.
    Add correct host key in /Users/xxx/.ssh/known_hosts to get rid of this message.
    Offending ECDSA key in /Users/xxx/.ssh/known_hosts:1
    ECDSA host key for raspberrypi.local has changed and you have requested strict checking.
    Host key verification failed.

    Ich bin noch relativ neu was Technik usw. angeht und wollte fragen ob sie mir da evtl. weiter helfen könnten.

    Mit freundlichen Grüßen 🙂
    B.Eberle

    • JARVIS

      Hi,
      ich gehe erst Mal von keiner bösen Absicht aus :), sodass diese Meldung „normal“ sein kann, wenn sich die IP Adresse oder der Hostname in Verbindung mit dem auf dem Raspberry gespeicherten Hostkey geändert haben könnte. Ich vermute mal er bekommt eine dynamische IP-Adresse. Am einfachsten geht es in dem du diesen aus der Datei „known_hosts“ löscht. Dafür einfach den Befehl: # ssh-keygen -R /Users/xxx/.ssh/known_hosts oder , eingeben. Danach die ssh-Verbindung erneut versuchen und die Abfragen mit Ja / Yes beantworten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert