17.3 Построение новых ключех хостов

Проблема

Вы заглянули в каталог/etc/ssh, но не нашли там файлов с ключами: дистрибутив
Linux не сгенерировал их при установке OpenSSH. А может быть, вы просто хоти те сгенерировать новые ключи самостоятельно.
Решение
Сгенерируйте новую пару ключей программой ssh-keygen. Программа должна за пускаться с правами root и с указанием имени новой пары ключей. Всегда зада вайте контрольную фразу (пароль):
# ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/sshjiost_rsa_key.pub.
The key fingerprint is:
6c:24:75:54:d3:21:17:c9:ll:db:41:dd:95:3f:d0:ac rootPwindbag
В приведенном примере используются имена ключей по умолчанию, но вы мо жете назвать их как угодно. При использовании других имен не забудьте вклю чить их в файл /etc/ssh/sshd_config:
HostKey /etc/ssh/ssh_host_rsa_key
Закомментируйте или удалите записи несуществующих ключей.
Комментарий
О выборе сильных паролей говорилось в разделе «Введение» настоящей главы.
После того как OpenSSH заработает, и открытые ключи будут распространены
среди пользователей, не стоит изменять закрытые ключи без особо веских причин,
потому что вам придется распространять открытые ключи заново. Если пользо ватель попытается подключиться со старым открытым ключом, он получит сле дующее сообщение:
& WARNING: HOST IDENTIFICATION HAS CHANGED! @
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
...
Are you sure you want to continue connecting? (yes/no)
Проинструктируйте пользователей, чтобы они всегда отвечали по и ставили
вас в известность о происходящем.
См. также
ssh(l), ssh_keygen(l).