Linux で "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!"

Fingerprint

某所の環境で、何もしていないのに、SSHでのログイン時に以下の警告が出るようになりました!と報告を受けました。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.

・・・・・以下省略・・・・・


ほうほう、と見てみると、

# ll /etc/ssh/ssh_host_rsa_key.pub
-rw-r--r--. 1 root root 401 Nov 15 06:47 /etc/ssh/ssh_host_rsa_key.pub

今朝方、SSH (v2) 用の RSA 公開鍵が変更されているような形跡があります。

通常、SSH でリモートホストにログインする際は、リモートホストの SSH 用公開鍵をクライアントの ".ssh/known_hosts" に登録するのですが、公開鍵が変わったりすると、こうして警告が出ます。

ログを見る感じ、

Nov 15 06:47:58 hostname instance-setup: INFO Generating SSH key /etc/ssh/ssh_host_ed25519_key.
Nov 15 06:47:58 hostname instance-setup: INFO Unable to write ssh-ed25519 host key to guest attributes.
Nov 15 06:47:58 hostname instance-setup: INFO Generating SSH key /etc/ssh/ssh_host_ecdsa_key.
Nov 15 06:47:58 hostname instance-setup: INFO Unable to write ecdsa-sha2-nistp256 host key to guest attributes.
Nov 15 06:47:58 hostname instance-setup: INFO Generating SSH key /etc/ssh/ssh_host_rsa_key.
Nov 15 06:47:59 hostname instance-setup: INFO Unable to write ssh-rsa host key to guest attributes.

まるっと更新されています。

instance-setup が何か思い出せないけど、おそらく事前にログに残っていた、以下のアップデート作業に影響されているのかなぁと予想。

Nov 15 06:47:53 hostname yum[18934]: Updated: python-google-compute-engine.noarch 1:20191112.00-g1.el7

なんとなく原因のアタリがついたので、今回はこの辺で良しとします。(雑

復習: CentOS 7 系での yum 関連の自動アップデート設定について

最近ほとんど CentOS 系を触らなくなったので、メモを残しておく。

自動アップデートの設定

"/etc/yum/yum-cron.conf" の以下項目で設定されている。

apply_updates = yes

こうなっていたら、自動アップデートは有効。

アップデート対象のスコープ

同じく "/etc/yum/yum-cron.conf" の以下項目を見る。

update_cmd = default

項目の意味は、設定ファイルに書いてある通りですが、以下のような感じ。

#  What kind of update to use:
# default                            = yum upgrade
# security                           = yum --security upgrade
# security-severity:Critical         = yum --sec-severity=Critical upgrade
# minimal                            = yum --bugfix update-minimal
# minimal-security                   = yum --security update-minimal
# minimal-security-severity:Critical =  --sec-severity=Critical update-minimal

実行

あとは、デーモンとして動いていればOKって感じみたいです。

# systemctl status yum-cron
● yum-cron.service - Run automatic yum updates as a cron job
   Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled)
   Active: active (exited) since Thu 2019-09-19 08:00:13 JST; 1 months 26 days ago


今日はここまで。
それでは!=͟͟͞͞(๑•̀=͟͟͞͞(๑•̀д•́=͟͟͞͞(๑•̀д•́๑)=͟͟͞͞(๑•̀д•́


[改訂新版]プロのためのLinuxシステム構築・運用技術 (Software Design plus)

[改訂新版]プロのためのLinuxシステム構築・運用技術 (Software Design plus)