Puis-je ajouter automatiquement un nouvel hôte à known_hosts ?

Vérifier l'empreinte digitale de chaque nouveau serveur/hôte. C'est le seul moyen d'authentifier le serveur. Sans cela, votre connexion SSH peut faire l'objet d'une attaque man-in-the-middle .

Ne pas utiliser l'ancienne valeur StrictHostKeyChecking=no dont jamais ne vérifie pas du tout l'authenticité du serveur. Bien que le signification de StrictHostKeyChecking=no est prévu pour être retourné plus tard.

La deuxième option, mais moins sûre, est d'utiliser StrictHostKeyChecking=accept-new qui a été introduit dans la version 7.6 (2017-10-03) d'OpenSSH :

Le premier "accept-new" acceptera automatiquement automatiquement les clés inconnues jusqu'à présent mais refusera les connexions pour des clés clés d'hôte modifiées ou invalides.

C'est ainsi que vous pouvez incorporer ssh-keyscan dans votre pièce :

---
# ansible playbook that adds ssh fingerprints to known_hosts
- hosts: all
  connection: local
  gather_facts: no
  tasks:
  - command: /usr/bin/ssh-keyscan -T 10 {{ ansible_host }}
    register: keyscan
  - lineinfile: name=~/.ssh/known_hosts create=yes line={{ item }}
    with_items: '{{ keyscan.results | map(attribute='stdout_lines') | list }}'

Pour faire cela correctement, ce que vous voulez vraiment faire, c'est collecter les clés publiques des hôtes des VM au fur et à mesure que vous les créez et les déposer dans un fichier dans le répertoire known_hosts format. Vous pouvez alors utiliser le -o GlobalKnownHostsFile=... qui pointe vers ce fichier, pour s'assurer que vous vous connectez à l'hôte auquel vous pensez devoir vous connecter. La manière de procéder dépend de la façon dont vous configurez les machines virtuelles, mais si possible, vous pouvez lire le fichier à partir du système de fichiers virtuel ou même faire en sorte que l'hôte imprime le contenu de ce fichier. /etc/ssh/ssh_host_rsa_key.pub pendant la configuration peut faire l'affaire.

Cela dit, cela peut ne pas être utile, selon le type d'environnement dans lequel vous travaillez et l'identité de vos adversaires potentiels. Un simple "stockage à la première connexion" (par le biais d'un scan ou simplement lors de la première connexion "réelle"), tel que décrit dans plusieurs autres réponses ci-dessus, peut s'avérer beaucoup plus facile et fournir un minimum de sécurité. Cependant, si vous faites cela, je vous suggère fortement de modifier le fichier hosts connu de l'utilisateur ( -o UserKnownHostsFile=... ) vers un fichier spécifique pour cette installation de test particulière ; cela évitera de polluer votre fichier d'hôtes connus personnel avec des informations de test et facilitera le nettoyage des clés publiques désormais inutiles lorsque vous supprimerez vos VM.

Ce serait une solution complète, acceptant la clé de l'hôte pour la première fois seulement

#!/usr/bin/env ansible-playbook
---
- name: accept ssh fingerprint automatically for the first time
  hosts: all
  connection: local
  gather_facts: False

  tasks:
    - name: "check if known_hosts contains server's fingerprint"
      command: ssh-keygen -F {{ inventory_hostname }}
      register: keygen
      failed_when: keygen.stderr != ''
      changed_when: False

    - name: fetch remote ssh key
      command: ssh-keyscan -T5 {{ inventory_hostname }}
      register: keyscan
      failed_when: keyscan.rc != 0 or keyscan.stdout == ''
      changed_when: False
      when: keygen.rc == 1

    - name: add ssh-key to local known_hosts
      lineinfile:
        name: ~/.ssh/known_hosts
        create: yes
        line: "{{ item }}"
      when: keygen.rc == 1
      with_items: '{{ keyscan.stdout_lines|default([]) }}'

Je fais un script en une ligne, un peu long mais utile pour faire cette tâche pour les hôtes avec de multiples IPs, en utilisant dig y bash

(host=github.com; ssh-keyscan -H $host; for ip in $(dig @8.8.8.8 github.com +short); do ssh-keyscan -H $host,$ip; ssh-keyscan -H $ip; done) 2> /dev/null >> .ssh/known_hosts