share facebook facebook2 twitter menu hatena pocket slack

2014.03.07 FRI

EC2インスタンスがオートヒーリングされたらsshできなくなったとき(Public DNSが同一だった編)

吉田 真吾

WRITTEN BY吉田 真吾

cloudpackエバンジェリストの吉田真吾@yoshidashingo)です。

Macを使ってオートヒーリング状態のEC2(Auto Scaling Groupでインスタンス数1,Desired Capacity1,Min1,Max1)にSSH接続しており、何かのきっかけでインスタンスが破棄され復旧(オートヒーリング)した場合、新しいインスタンスのPublic DNSが、破棄されたインスタンスのそれと同一の場合があります(毎回そうとは限らないかもしれないです)

よって再度接続しようとするとMacのターミナル上に以下のような警告が出ます。


$ ssh -i ***.pem ec2-user@***.compute.amazonaws.com
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
***.
Please contact your system administrator.
Add correct host key in /Users/***/.ssh/known_hosts to get rid of this message.
Offending RSA key in /Users/***/.ssh/known_hosts:[行数]
RSA host key for ***.ap-northeast-1.compute.amazonaws.com has changed and you have requested strict checking.
Host key verification failed.

上記の警告のとおり、手元のknown_hostsのホストに記録しているRSAキーが合致しないセキュリティ警告により接続が中止されてるので、[行数]のとこの該当行をいったん削除して接続すればよいです。


$ ssh -i ***.pem ec2-user@***.compute.amazonaws.com
The authenticity of host '***.compute.amazonaws.com (***)' can't be established.
RSA key fingerprint is ***.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '***.compute.amazonaws.com,***' (RSA) to the list of known hosts.

__| __|_ )
_| ( / Amazon Linux AMI
___|___|___|

https://aws.amazon.com/amazon-linux-ami/2013.09-release-notes/

接続できて、再度known_hostsに登録されます。

AWSと直接関係ない小ネタでした。

 <h4><span>2014.3.6 追記</span></h4>    <p>吉川さん(@yoshikaw)からこんなアドバイスいただきました、ありがとうございます!^^</p><blockquote lang="ja"><p>削除は ssh-keygen -R hostname がいいかなと思ってみたり。》EC2インスタンスがオートヒーリングされたらsshできなくなったとき(Public DNSが同一だった編) - yoshidashingoの日記 <a href="http://t.co/4bL0rgSRBN">http://t.co/4bL0rgSRBN</a></p>— Kazuhiro YOSHIKAWA (@yoshikaw) <a href="https://twitter.com/yoshikaw/statuses/441423609722990592">2014, 3月 6</a></blockquote><br><br> こちらの記事はなかの人(<a href="http://d.hatena.ne.jp/yoshidashingo/" target="_blank" title="yoshidashingo">yoshidashingo</a>)監修のもと掲載しています。<br>元記事は、<a href="http://yoshidashingo.hatenablog.com/entry/2014/03/06/123032" target="_blank" title="こちら">こちら</a>

吉田 真吾

吉田 真吾