Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    Proxmox 7.4 отпечаток RSA продолжает меняться в кластере после обновления

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Proxmox 7.4 отпечаток RSA продолжает меняться в кластере после обновления, Proxmox Виртуальная Среда
     
    BeDazzler
    Guest
    #1
    0
    01.09.2023 00:44:00
    Привет всем, у меня есть кластер из 5 узлов PVE 7.4, который мы недавно обновили на новое оборудование. Мы делали это по одному хосту, и все прошло хорошо, но каждый раз, когда я пытаюсь подключиться к удаленному консоли (NoVNC), я получаю сообщение "ПРЕДУПРЕЖДЕНИЕ: ИДЕНТИФИКАЦИЯ УДАЛЕННОГО ХОСТА ИЗМЕНИЛАСЬ!" Это, вероятно, связано с тем, что старые ключи хоста все еще присутствуют в /etc/ssh/ssh_known_hosts. Я удалял их один за другим и переходил к каждому хосту, чтобы обновить сертификаты, но по-прежнему получаю то же сообщение. Нужно ли мне что-то еще сделать? Большое спасибо.
     
     
     
    tempacc375924
    Guest
    #2
    0
    18.11.2023 21:14:00
    @BeDazzler См. https://forum.proxmox.com/threads/pvecm-updatecert-f-not-working.135812/page-2#post-606349
     
     
     
    BeDazzler
    Guest
    #3
    0
    18.11.2023 21:27:00
    Спасибо. Да, я знал, что символьная ссылка сломана/перезаписывается локальным файлом. В качестве временного решения я добавил 'StrictHostKeyChecking no' в каждый файл конфигурации ssh, так как мои PVE работают в своей внутренней сети. Я рассмотрю этот патч.
     
     
     
    tempacc375924
    Guest
    #4
    0
    18.11.2023 21:40:00
    Не переживай! Я сам столкнулся с тем же и нашёл довольно много постов на форуме, так что задумался, не сводится ли всё к одному и тому же. Символьная ссылка на самом деле не такая уж проблема, после того как ты запустил ssh-keygen -R для файла, расположенного в /etc, ты мог (возможно, и раньше) выполнить pvecm udpatecerts (именно так, флаг -f действительно касается только SSL-сертификатов). Патч нужен для updatecerts, чтобы он не продолжал сбрасывать ключи — именно поэтому ты получал предупреждения MITM. Предупреждение появляется, когда НИ ОДИН из ключей в файле known_hosts не совпадает. Это значит, что у тебя были старые ключи, но новые отсутствовали. Конечно, после ручного удаления всех ключей (как делали некоторые) ты мог просто принять запрос (когда StrictHostKeyChecking по умолчанию запрашивает) и всё будет в порядке, но потом, к сожалению (в зависимости от того, с какого узла это было сделано), updatecerts мог снова всё сломать. Это касается всех, кто когда-либо называл новый узел так же, как удалённый (ранее корректно удалённый) или у кого было просто больше ключей с одинаковым псевдонимом в known_hosts — не обязательно, чтобы псевдоним был fqdn. Рад, что кто-то, кто действительно испытывает это, получил помощь (или получит, если захочешь подождать, пока они это утвердят и вернут обратно), но на самом деле это действительно косметическая проблема.
     
     
     
    BeDazzler
    Guest
    #5
    0
    18.11.2023 21:45:00
    Да, я только что прочитал переписку по исправлению ошибок, там действительно очень интересные сообщения. Я тоже обнаружил проблему во время обновления инфраструктуры и выяснил, что старые ключи продолжают появляться, несмотря на удаление и повторное создание. В конечном итоге это стало раздражающим и напрасной тратой времени (без решения), так как символьная ссылка необходима для корректного обмена информацией между узлами PVE, так что отключение проверок оказалось самым простым решением и остановило жалобы от администраторов.
     
     
     
    tempacc375924
    Guest
    #6
    0
    18.11.2023 21:56:00
    Я бы полностью рассматривал возможность внедрения сертификатов SSH для кластера (и еще для ВМ, но это не в рамках нашего обсуждения), это также хорошо масштабируется. В основном требуется только удостоверяющий центр для подписи ключей хоста, и затем всё, что подписано, принимается в known_hosts ( @ca *.fqdn.tld key ... и т.д., только одна запись для каждого хоста, и да, они сейчас общие, так что один, но это легко добавить при подключении к кластеру). Удостоверяющие центры могут иметь долгосрочные ключи, и если вы используете его в безопасной сети, нет большого риска иметь их на очень долгий срок. Потому что в противном случае да, жалобы заставляют людей придумывать обходные пути, которые... мягко говоря, не идеальны. Мне очень приятно, что это помогло еще одному человеку!
     
     
     
    esi_y
    Guest
    #7
    0
    08.12.2023 14:59:00
    Я не могу перевести URL-адрес.
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры