SSH vérifie son known_hosts pour toutes les entrées de cet hôte. Si l'hôte tous d'entre eux ne correspondent pas, y compris le cas habituel de tous être l'entrée unique SSH s'en plaindra.
Si tous d'entre eux correspond à SSH réussit à vérifier l'identité de l'hôte.
De man sshd dans le format de fichier SSH_KNOWN_HOSTS :
Lors de l'authentification de l'hôte, L'authentification est acceptée si un ligne correspondante possède la clé appropriée ; l'un des deux correspond exactement à l'autre ou, si le serveur a présenté un certificat pour l'authentification, la clé de l'autorité de certification qui a signé le certificat. de l'autorité de certification qui a signé le certificat.
[...]
Il est permis (mais pas recommandé) d'avoir plusieurs lignes ou clés d'hôte différentes pour les mêmes noms . Cela se produira inévitablement lorsque des formes abrégées de noms d'hôtes provenant de différents domaines sont placées dans le fichier. dans le fichier Il est possible que les fichiers contiennent des informations contradictoires ; l'authentification est acceptée si des informations valides peuvent être trouvées dans l'un ou l'autre des fichiers. l'un ou l'autre fichier.
Une utilisation (moins) courante est celle des serveurs SSH souvent utilisés comme serveurs SFTP dans un contexte de haute disponibilité par l'intermédiaire d'un VIP : lorsqu'il y a un basculement d'un nœud à l'autre, l'authentification de l'hôte peut changer.
On peut utiliser ssh-keyscan 10.0.4.4 éventuellement avec des options supplémentaires (telles que l'option -H pour la confidentialité du hachage) deux fois : une fois sur chaque VM différente, pour récupérer toutes les clés d'hôte possibles et les ajouter, ou certaines d'entre elles, au fichier ~/.ssh/known_hosts .
Aucune erreur d'authentification ne se produira alors, jusqu'à ce que l'on essaie d'accéder à un troisième nœud non lié avec la même adresse.
