[Admin-ml] ssh et les known_hosts

[Michel Roche]

Bonsoir,
j'ai un souci qui devient de plus en plus récurrent avec mon  
utilisation de ssh :
Mac OS X est réglé par défaut pour n'accepter que les connexions avec  
des hôtes connus dont on détient la clef dans ~/.ssh/known_hosts.  
Lorsque la machine à laquelle on se connecte n'y est pas, on reçoit  
un message d'alerte qui demande explicitement l'autorisation de se  
connecter à ce nouvel hôte.

Je fais pas mal de petites maquettes de réseaux wifi en ce moment, et  
mon PowerBook vit avec beaucoup d'hôtes ssh autour de lui, qui ont  
parfois la même adresse IP qu'une autre machine déjà enregistrée  
(notamment après un flashage de firmware, la boite se retrouve avec  
une adresse IP par défaut qui est toujours la même, je suis donc  
amené à me connecter en ssh sur cette adresse IP plusieurs fois de  
suite, et sur des machines différentes). Or dans ce cas, la connexion  
ssh est refusée au motif que la paire clef RSA / adresse IP n'est  
plus valide. Je comprends tout à fait le message, mais dans ce cas,  
le réglage paranoïaque est excessivement pénible, puisqu'il me faut  
aller supprimer la ligne incriminée de known_hosts pour pouvoir  
lancer ma session ssh. Les lignes sont longues, je suis une brêle  
avec vi => c'est ultra pénible à faire (et je mesure mon  
vocabulaire :-). Moralité, je fais parfois le sauvage : rm .ssh/ 
known_hosts

Et je m'en mords les doigts deux jours après en voulant mettre à jour  
un dépôt cvs par exemple, parce que du coup mon logiciel de cvs  
refuse la connexion au motif que ben, oui, forcément, il n'a plus la  
clef de l'hôte cvs :-((

Alors, vous vous en sortez comment vous de ce tas de pus ?

Je vois deux, trois pistes, mais que je ne sais pas vraiment  
développer :
- trouver la commande qui tue pour supprimer la ligne incriminée du  
known_hosts, mais en une ligne hein, ou que je puisse en faire un  
alias quoi, un truc vraiment pratique. Là c'est sans doute RTFM, mais  
lequel ?
- expliquer calmement à Mac OS X que bon y'a des adresses c'est pas  
la peine de jouer les douanier tâtillons, une petite alerte suffit.
- si la précédente n'est pas possible, expliquer à Mac OS X que  
j'habite à la montagne, qu'ici on est pas stressés, et qu'on a bien  
le droit de causer ssh à des hôtes différents qui ont la même IP, le  
tout dans la même journée. Bon c'est moins bon, mais au pire, ça sera  
toujours moins pénible à vivre ;-)
- ou encore, pourrait-on imaginer paramétrer ssh pour qu'il base non  
pas ses paires sur IP/RSA-DSA, mais sur MAC/RSA-DSA par exemple, ce  
qui dans mon cas résoudrait le problème.


En espérant que ça en inspire certains d'entre vous...

Merci

Michel Roche