Weiteren bekannten Host hinzufügen

guitardoc · Mar 4th 2023

Hallo zusammen,

Als absoluter Newbie ohne viel Ahnung in Linux und Debian habe ich ein paar Fragen...

Ich habe einen Raspberry Pi4, welchen ich neu aufsetzen möchte - Grund dafür ist, dass ich mir irgendwie was eingefangen hab, was die Fritz!Box extrem langsam macht, und was wohl nur mit einer frischen Installation zu beseitigen ist (so in einem anderen Forum gelesen). Gleichzeitig auch Update von 32 auf 64 Bit.

Gestartet wurde das System von einer Festplatte. Ich habe jetzt eine zweite identische Festplatte gekauft, damit ich die alte behalten und dann von dort Backups erstellen und auf die neue Platte einspielen kann. Soweit die Idee. An der praktischen Ausführung scheitert es nun aber... Auf der neuen Platte ist jetzt ein Debian lite 64Bit installiert.

Wenn ich die alte Platte abziehe und den Raspi mit der neuen Platte boote, dann komme ich per SSH nicht auf das System. Wie zu erwarten kommt

Code

Host key for 192.168.188.92 has changed and you have requested strict checking.
Host key verification failed.

Nun möchte ich den "alten" Host Key behalten (damit ich auch weiterhin von der alten Platte starten kann) und die neue Platte hinzufügen - kann mir jemand helfen wie ich das machen muss? Hab diverse Anleitungen gelesen, aber funktioniert hat nichts davon.

Kann man eigentlich überhaupt Backups von einer 32-Bit Installation auf die neue 64-Bit Installation übertragen damit die Systeme dann wieder laufen (ioBroker, Homebridge, Phoscon, OpenVPN)?

Danke schon mal vorab für die Hilfe!

rpi444 · Mar 4th 2023

Quote from guitardoc
Wenn ich die alte Platte abziehe und den Raspi mit der neuen Platte boote, dann komme ich per SSH nicht auf das System. Wie zu erwarten kommt
Code
Host key for 192.168.188.92 has changed and you have requested strict checking.
Host key verification failed.

Teste mal temporär mit:

Code

StrictModes no

in der sshd_config und poste mit und ohne "StrictModes no", die Ausgaben von:

Code

ssh -v <Host>

(Host anpassen und ohne spitze Klammern).

guitardoc · Mar 4th 2023

Einmal ohne StrictModes no:

Code

OpenSSH_9.0p1, LibreSSL 3.3.6
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 21: include /etc/ssh/ssh_config.d/* matched no files
debug1: /etc/ssh/ssh_config line 54: Applying options for *
debug1: Authenticator provider $SSH_SK_PROVIDER did not resolve; disabling
debug1: Connecting to 192.168.188.92 [192.168.188.92] port 22.
debug1: Connection established.
debug1: identity file /Users/MN_1/.ssh/id_rsa type 0
debug1: identity file /Users/MN_1/.ssh/id_rsa-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_ecdsa type -1
debug1: identity file /Users/MN_1/.ssh/id_ecdsa-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_ecdsa_sk type -1
debug1: identity file /Users/MN_1/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_ed25519 type -1
debug1: identity file /Users/MN_1/.ssh/id_ed25519-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_ed25519_sk type -1
debug1: identity file /Users/MN_1/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_xmss type -1
debug1: identity file /Users/MN_1/.ssh/id_xmss-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_dsa type -1
debug1: identity file /Users/MN_1/.ssh/id_dsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_9.0
debug1: Remote protocol version 2.0, remote software version OpenSSH_8.4p1 Debian-5+deb11u1
debug1: compat_banner: match: OpenSSH_8.4p1 Debian-5+deb11u1 pat OpenSSH* compat 0x04000000
debug1: Authenticating to 192.168.188.92:22 as 'MN'
debug1: load_hostkeys: fopen /Users/MN_1/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:BrXQQlZNErojgRddIW8zFpYmOyGTUsakSIpj4usg3A8
debug1: load_hostkeys: fopen /Users/MN_1/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (manin-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:BrXQQlZNErojgRddIW8zFpYmOyGTUsakSIpj4usg3A8.
Please contact your system administrator.
Add correct host key in /Users/MN_1/.ssh/known_hosts to get rid of this message.
Offending ED25519 key in /Users/MN_1/.ssh/known_hosts:3
Host key for 192.168.188.92 has changed and you have requested strict checking.
Host key verification failed.

Display More

Wo finde ich die sshd_config?

EDIT: gefunden - aber wie kann ich die bearbeiten?

rjh · Mar 4th 2023

Quote from guitardoc

Wo finde ich die sshd_config?
EDIT: gefunden - aber wie kann ich die bearbeiten?

Mit einem Editor [1] Deiner Wahl und Adminrechten.

[1] z.B. https://www.raspberry-pi-geek.…g-in-den-texteditor-nano/

guitardoc · Mar 4th 2023

Hmm, die Datei liegt aber auf dem Mac, und dort sollte ich eigentlich Adminrechte haben...

rpi444 · Mar 4th 2023

Quote from guitardoc

Hmm, die Datei liegt aber auf dem Mac, ...

Warum auf dem Mac? Es geht doch um die sshd_config des sshd (openssh-server) auf deinem PI, oder?

llutz · Mar 4th 2023

guitardoc

StrictHostKeyChecking ist eine Client-Option, zu setzen z.B. userabhängig in der ~/.ssh/config, systemweit in /etc/ssh/ssh_config

Du müsstest also auf deinem Mac nach der ssh_config suchen, oder

ssh -o StrictHostKeyChecking=no user@host zum Verbinden nutzen.

rpi444

StrictModes ist eine Daemon-Option, die aber nichts mit Hostkeycheck zu tun hat.

Quote from man sshd_config

StrictModes

Specifies whether sshd(8) should check file modes and ownership of the user's files and home directory before accepting lo‐

gin. This is normally desirable because novices sometimes accidentally leave their directory or files world-writable. The

default is yes. Note that this does not apply to ChrootDirectory, whose permissions and ownership are checked uncondition‐

ally.

Display More

guitardoc · Mar 4th 2023

Ja, die Datei hab ich auf dem Mac gefunden. Ich kann sie aber nicht bearbeiten, obwohl ich Admin auf dem Mac bin.

Hmm, wie komme ich denn nun weiter?

llutz · Mar 4th 2023

Quote from guitardoc

Hmm, wie komme ich denn nun weiter?

Googgle sagt, MacOS kennt sudo, also

sudo nano -w /etc/ssh/ssh_config bzw ~/.ssh/config

guitardoc · Mar 4th 2023

Ahh - OK. Ich vermute, du meinst aber die sshd_config? Ich hab dort mal no eingetragen und das kommt dann als Result:

Code

OpenSSH_9.0p1, LibreSSL 3.3.6
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 21: include /etc/ssh/ssh_config.d/* matched no files
debug1: /etc/ssh/ssh_config line 54: Applying options for *
debug1: Authenticator provider $SSH_SK_PROVIDER did not resolve; disabling
debug1: Connecting to 192.168.188.92 [192.168.188.92] port 22.
debug1: Connection established.
debug1: identity file /Users/MN_1/.ssh/id_rsa type 0
debug1: identity file /Users/MN_1/.ssh/id_rsa-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_ecdsa type -1
debug1: identity file /Users/MN_1/.ssh/id_ecdsa-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_ecdsa_sk type -1
debug1: identity file /Users/MN_1/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_ed25519 type -1
debug1: identity file /Users/MN_1/.ssh/id_ed25519-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_ed25519_sk type -1
debug1: identity file /Users/MN_1/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_xmss type -1
debug1: identity file /Users/MN_1/.ssh/id_xmss-cert type -1
debug1: identity file /Users/MN_1/.ssh/id_dsa type -1
debug1: identity file /Users/MN_1/.ssh/id_dsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_9.0
debug1: Remote protocol version 2.0, remote software version OpenSSH_8.4p1 Debian-5+deb11u1
debug1: compat_banner: match: OpenSSH_8.4p1 Debian-5+deb11u1 pat OpenSSH* compat 0x04000000
debug1: Authenticating to 192.168.188.92:22 as 'MN'
debug1: load_hostkeys: fopen /Users/MN_1/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
debug1: load_hostkeys: fopen /Users/MN_1/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:BrXQQlZNErojgRddIW8zFpYmOyGTUsakSIpj4usg3A8.
Please contact your system administrator.
Add correct host key in /Users/MN_1/.ssh/known_hosts to get rid of this message.
Offending ED25519 key in /Users/MN_1/.ssh/known_hosts:3
Host key for 192.168.188.92 has changed and you have requested strict checking.
Host key verification failed.

Display More

llutz · Mar 4th 2023

Quote from guitardoc

du meinst aber die sshd_config

Nein, meine ich nicht. Lies bitte was ich in #8 schrieb.

PS: Mal kurz die 1€-Frage:

Wie wahrscheinlich ist es wohl bei einer SecureShell, dass der Server über eine Option dem Clienten untersagen kann, den serverseitigen Hostkey zu prüfen?

guitardoc · Mar 4th 2023

Hmm, vermutlich nicht sehr wahrscheinlich?

Aber nun weiß ich gar nicht mehr was ich machen muss. Eigentlich wollte ich ja von Anfang an nichts weiter, als mich wie immer per SSH mit dem Raspi verbinden, egal welche der beiden Platten ich nun gerade angeschlossen hab…

Ich hatte vermutet, dass man da nur einen weiteren Schlüssel generieren muss welcher dann bekannt gegeben wird und schon verstehen die Clients dass es ein anderer Server ist der unter der gleichen IP angesprochen wird.

llutz · Mar 4th 2023

Ein "macht-man-eigentlich-nicht"-Weg wäre, den bekannten Hostkey des einen RPi (aus /etc/ssh/ ) einfach auf den anderen zu kopieren.

Dann nutzen beiden den gleichen Hostkey und der ssh-Client meckert trotz StrictHostKeyChecking nicht.

guitardoc · Mar 4th 2023

Hmm, wenn es keinen anderen Weg gibt?

Dann muss ich das so machen. Allerdings ergibt sich da schon die nächste Frage - auf die eine Platte komme ich ja per SSH drauf - auf die andere ja aber nicht? Würde es denn für die Übertragung des Schlüssels gehen, wenn man die eine Platte zusätzlich mountet? Und welche Dateien muss ich dann kopieren?

llutz · Mar 4th 2023

Quote from guitardoc

Hmm, wenn es keinen anderen Weg gibt?

~~Ein anderer wurde dir oben aufgezeigt (StrictHostKeyChecking=no), aber den wolltest du anscheinend nicht nutzen.~~

Update:

Neueres OpenSSH würde anscheinend auch ohne HostkeyCheck meutern und den Connect verweigern. Also bleibt wahrscheinlich nur die Hostkey-Kopieren-Lösung.

guitardoc · Mar 4th 2023

Das hat nicht funktioniert.

Es kommt immer noch eine Fehlermeldung:

Code

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (manin-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:BrXQQlZNErojgRddIW8zFpYmOyGTUsakSIpj4usg3A8.
Please contact your system administrator.
Add correct host key in /Users/MN_1/.ssh/known_hosts to get rid of this message.
Offending ED25519 key in /Users/MN_1/.ssh/known_hosts:3
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
UpdateHostkeys is disabled because the host key is not trusted.
pi@192.168.188.92: Permission denied (publickey,password).

Display More

guitardoc · Mar 4th 2023

Quote from llutz

Update:
Neueres OpenSSH würde anscheinend auch ohne HostkeyCheck meutern und den Connect verweigern. Also bleibt wahrscheinlich nur die Hostkey-Kopieren-Lösung.

Ahhh, deswegen hat es nicht funktioniert.

Bleibt die Frage, wie auf die neue Platte zugegriffen werden kann und welche Dateien wohin kopiert werden müssen…

(und ich hatte mir das alles so einfach vorgestellt…)

guitardoc · Mar 5th 2023

Niemand mehr eine Idee?

rpi444 · Mar 5th 2023

Quote from guitardoc

Niemand mehr ...

Füge ein Kommentarzeichen ("#") an den Anfang der 3. Zeile in der ".ssh/known_hosts"-Datei.

Post by Leroy Cemoi (Mar 4th 2023).