リモート サーバと通信を行う一部のタスクでは、リモート サーバの SSH フィンガープリントが必要になる場合があります。SSH フィンガープリントはリモート サーバ上のホスト キーから生成されます。

SSH 経由で接続するには、NSX Manager とリモート サーバが共通のホスト キー タイプを持つ必要があります。NSX-T Data Center 3.2.1 以降では、256 ビット、384 ビット、512 ビットのキー サイズがサポートされます。3.2.0 でサポートされるキーのサイズは 256 ビットのみです。リストアするときに、バックアップ時に使用されたキー サイズが使用されていることを確認します。このキーのデフォルトの場所は /etc/ssh/ssh_host_ecdsa_key.pub です。

リモート サーバのフィンガープリントを指定するこで、正しいサーバに接続していることを確認し、中間者攻撃から保護することができます。サーバの SSH フィンガープリントをリモート サーバの管理者から入手できます。または、リモート サーバに接続してフィンガープリントを入手することも可能です。ネットワークを経由するよりも、コンソール上でサーバに接続する方が安全です。

手順

  1. リモート サーバに root としてログインします。
    ネットワークを経由するよりも、コンソールを使用してログインする方が安全です。
  2. #ssh-keyscan -t ecdsa <backup server IP/FQDN> を実行して、必要なハッシュ ECDSA ホスト キーがバックアップ サーバに存在することを確認します。
    #ssh-keyscan -t ecdsa ftpserver.corp.local
       #ftpserver.corp.local:22 SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.5
       ftpserver.corp.local ecdsa-sha2-nistp256 
    コマンドの出力で ECDSA ホスト キーが返されない場合は、バックアップ サーバでキーを構成する必要があります。構成のガイダンスが必要な場合は、OS ベンダーに問い合わせてください。
  3. ECDSA キーを見つけます。キーのデフォルトの場所は /etc/ssh/ssh_host_ecdsa_key.pub です。
    $ ls -al /etc/ssh/*pub
    -rw-r--r-- 1 root root  93 Apr  8 18:10 ssh_host_ecdsa_key.pub
    -rw-r--r-- 1 root root 393 Apr  8 18:10 ssh_host_rsa_key.pub
    
  4. キーのフィンガープリントを取得します。
    ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub | awk '{print $2}'