トラブルシューティングガイド


2.3.5 接続時にホスト公開鍵変更の警告が表示される

他装置から本装置に対してSSHで接続したときに,「@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @」のメッセージが表示される場合は,前回の接続時から本装置側のホスト公開鍵が変更されていることを示しています。

このメッセージが表示されたときは,悪意のある第三者が本装置になりすましているおそれもあるため,次の手順に従って十分に確認してからSSHで接続してください。

〈この項の構成〉

(1) 本装置の装置管理者へ問い合わせる

次の内容について,装置管理者へ問い合わせて確認してください。

本装置で装置管理者がホスト鍵ペアを変更していない場合は,なりすまし攻撃にあっている危険性,またはほかのホストへ接続しているおそれがあるため,SSH接続を中断し,ネットワーク管理者に連絡してください。SSHでの接続を中断する例を次の図に示します。

図2‒8 SSHでの接続を中断する例
client-host> ssh operator@myhost
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
   :
   :
Are you sure you want to continue connecting? (y/n): n      <-1
Host key verification failed.
client-host>
  1. ここで「n」を入力して,接続しません。

なりすましの危険性がなく,本装置のホスト公開鍵が変更されていた場合は,以降の手順に従って再接続してください。

(2) ホスト公開鍵が変更された場合に再接続する

SSHクライアントからSSHv2プロトコルを使用して,ホスト鍵ペアが変更された本装置のSSHサーバに接続します。より安全に接続するために,次の手順に従って,接続しようとしている本装置のSSHサーバが正しい接続対象のホストであることをFingerprintで確認します。

  1. Fingerprintの事前確認

    あらかじめ本装置にログインして,show ssh hostkeyコマンドでFingerprintを確認します。コンソール接続など,ネットワーク経由以外の安全な方法で確認すると,より安全です。

  2. Fingerprintをクライアントユーザへ通知

    確認したFingerprintを,SSHクライアントユーザに通知します。郵送や電話など,ネットワーク経由以外の安全な方法で通知すると,より安全です。

  3. Fingerprintを確認してSSH接続

    クライアントでは,本装置のSSHサーバに対してSSH接続したときに表示されるFingerprintが,手順2.で通知されたものと同じであることを確認してから,接続します。

    クライアントによっては,FingerprintがHEX形式で表示されるものとbubblebabble形式で表示されるものがあります。また,SSHv1ではFingerprintをサポートしていないものもあります。クライアントに合った形式で確認してください。

(3) ユーザのホスト公開鍵データベースを登録または削除する

使用するSSHクライアントによっては,ユーザのホスト公開鍵データベースに登録された,本装置のSSHサーバのホスト公開鍵が自動で削除されないで,接続するたびに警告が表示される,または接続できない場合があります。このような場合は,手動でファイルを編集または削除して,再接続してください。