この場合、ProdServer-AからProdServer-BへのSSHキー(およびパスワードなしのSFTP接続)を正常に設定しました。動作します。少なくとも私は昨日そう思いました。昨日、ProdServer-BがDisasterServer-Bにフェイルオーバーしました。完了すると、SSH接続は失敗します。
ProdServer-Aでは、ProdServer-Bが変更され(既知のホスト)、「中間者」攻撃が可能であるという警告が表示されます(これは予想されたが、なぜこれが起こるのかを知っています)。だから私の質問は、2つのサーバー(同じホスト名ですが、一度に1つだけ有効)のキーをKnown_hostsに追加する方法です。
または、本番サーバーが災害用サーバーにフェールオーバーしている場合、SSH接続の失敗をどのように正常に防止できますか?提案を歓迎します。ありがとうございます!
ベストアンサー1
DisasterServer-Bが同じIPアドレスを使用することを含むProdServer-Bのレプリカとして機能することを意図している場合は、ProdServer-BからDisasterServer-Bにホストキーをコピーすることもできます。ある当事者の秘密鍵が漏洩すると、他の当事者を対象にMTM攻撃が開始される可能性があることに注意してください。しかし、同じデータが含まれていれば大きな問題にはならないと思います。
その場合は、x509 PKIの使用を検討してください。