[Opgelost] Probleem met ssh "RSA host key" na upgrade naar CloudKey G2+

[m4v3r1ck]

Het migreren - restore van backup - naar de CloudKey G2+ is prima gelukt, alleen is er nu een probleem het de "RSA host key" waardoor ssh naar hetzelfde IP-adres van nu mijn nieuwe ClouKey G2+ niet meer lukt.

Backup gemaakt, oude CloudKey netjes afgesloten en nieuwe CloudKey G2+ verwisseld op de switch in dezelfde poort. Backup restore in nieuwe CloudKey G2+, setup gedaan voor nu nog alleen de nieuwste UnifiOS controller, dus nog geen Protect omdat dit shh probleem speelt, wacht ik daar nu nog even mee. Alles werkt perfect verder, ook koppeling met de iOS Portal app.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
62:xx:xx:xx: <= OUDE CloudKey?
Please contact your system administrator.
Add correct host key in /Users/******/.ssh/known_hosts to get rid of this message.
Offending RSA key in /Users/*****/.ssh/known_hosts:2
RSA host key for 192.168.1.2 has changed and you have requested strict checking.
Host key verification failed.

Wat heb ik tot nu toe geprobeerd:
1. wijzigen naar vast IP-adres 192.168.1.3, geen melding van RSA voor gebruiker, echter wachtwoord niet correct
2. lokale gebruiker (met shh log+pass) toegevoegd aan mijn account (owner) in de ui cloud voor mijn oude lokale gebruiker
3. reset naar fabrieksinstelling (in CloudKey software) en opnieuw een "settings only" restore gedaan.

Wat heb ik gemist/overgeslagen/niet gecheckt tijdens mijn poging de migratie voor 100% goed te doen? Niet dat ik dagelijks aan het ssh-en ben, maar als het wel een keertje 'moet' dan dient het wel te werken.

 

[Stiibun]

Snelste manier is om gewoon om dat known_hosts bestand te verwijderen. Nadeel daarvan is dat voor alle apparaten waar je ooit via SSH hebt ingelogd je nog eens door de bevestiging moet als je nogmaals daar naartoe wilt SSH’en wat eigenlijk niet zo erg is

Mooiere oplossing is om in Terminal het volgende in te geven

ssh-keygen -R [IP cloudkey]

dan wordt alleen de SSH entry voor je cloudkey/UniFi controller verwijderd uit het known_hosts bestand. En dan zou SSH naar de nieuwe cloudkey wel moeten lukken.

De reden dat je die melding krijgt is omdat het IP adres wel hetzelfde is maar dat de hardware en dus de vingerafdruk (fingerprint) van die hardware veranderd is.

 

[Hofstede]

Voor de duidelijkheid: Dat moet je op je Mac zelf doen, niet op de CloudKey. Het is een “probleem” van de Mac, niet de CloudKey.

 

[m4v3r1ck]

Dank beiden. Dus op mijn Mac het commando van de ssh key uitvoeren van @Stiibun

Offending RSA key in /Users/*****/.ssh/known_hosts:2

Er staat een :2 achter de known hosts, is dat nog van belang? Hoeveel known host zijn er, kun je dat controleren?

 

[m4v3r1ck]

1.

MACPRO51:~ *****$ ssh-keygen -R 192.168.1.2
# Host 192.168.1.2 found: line 2 type RSA
/Users/*****/.ssh/known_hosts updated.
Original contents retained as /Users/*****/.ssh/known_hosts.old

2.

MACPRO51:~ *****$ ssh *****@192.168.1.2
The authenticity of host '192.168.1.2 (192.168.1.2)' can't be established.
RSA key fingerprint is 62:XX:XX:XX
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.2' (RSA) to the list of known hosts.
*****@192.168.1.2's password:
Permission denied, please try again.
*****@192.168.1.2's password:
Permission denied, please try again.
*****@192.168.1.2's password:
Permission denied (publickey,password).

 

[m4v3r1ck]

Voor de duidelijkheid: Dat moet je op je Mac zelf doen, niet op de CloudKey. Het is een “probleem” van de Mac, niet de CloudKey.

Je noemt het een "probleem" van de Mac, wat bedoel je hier mee? Zoals je bovenstaand kunt zien, kan ik alsnog niet inloggen via ssh met mijn lokale gebruiker/wachtwoord zoals dat wel kon op mijn CloudKey G1.

 

[Hofstede]

Dat sloeg alleen op de melding over de RSA key.
Dat je niet kunt inloggen is een ander probleem. Heb je op de CloudKey SSH wel aangezet? Die staat bij G2 default uit.

 

[Stiibun]

Zie dat de oude SSH key verwijderen gelukt is. Normaal heb je maar één known_hosts bestand en dat kan je altijd controleren op je Mac met

ls ~/.ssh/

~ betekent je homefolder met de gebruiker waarmee je ingelogd bent op je Mac. En onder .ssh (een onzichtbare folder) zal in principe maar één bestand staan, die known_hosts.

 

[m4v3r1ck]

Snelste manier is om gewoon om dat known_hosts bestand te verwijderen. Nadeel daarvan is dat voor alle apparaten waar je ooit via SSH hebt ingelogd je nog eens door de bevestiging moet als je nogmaals daar naartoe wilt SSH’en wat eigenlijk niet zo erg is

Mooiere oplossing is om in Terminal het volgende in te geven

ssh-keygen -R [IP cloudkey]

dan wordt alleen de SSH entry voor je cloudkey/UniFi controller verwijderd uit het known_hosts bestand. En dan zou SSH naar de nieuwe cloudkey wel moeten lukken.

De reden dat je die melding krijgt is omdat het IP adres wel hetzelfde is maar dat de hardware en dus de vingerafdruk (fingerprint) van die hardware veranderd is.

Even een testje gedaan op mijn US-8-150W switch, werkt prima!

MACPRO51:~ *****$ ssh *****@192.168.1.16
The authenticity of host '192.168.1.16 (192.168.1.16)' can't be established.
RSA key fingerprint is 60:xx:xx
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.16' (RSA) to the list of known hosts.
*****@192.168.1.16's password:

BusyBox v1.23.2 (2020-12-23 03:21:27 UTC) built-in shell (ash)
___ ___ .__________.__
| | |____ |__\_ ____/__|
| | / \| || __) | | (c) 2010-2020
| | | | \ || \ | | Ubiquiti Networks, Inc.
|______|___| /__||__/ |__|
|_/ https://www.ui.com/

Welcome to UniFi US-8-150W!
US-8-POE8-150W-STD-US.5.43.23# exit
Connection to 192.168.1.16 closed.

MACPRO51:~ *****$ ssh *****@192.168.1.16
*****@192.168.1.16's password:
BusyBox v1.23.2 (2020-12-23 03:21:27 UTC) built-in shell (ash)
___ ___ .__________.__
| | |____ |__\_ ____/__|
| | / \| || __) | | (c) 2010-2020
| | | | \ || \ | | Ubiquiti Networks, Inc.
|______|___| /__||__/ |__|
|_/ https://www.ui.com/
Welcome to UniFi US-8-150W!

US-8-POE8-150W-STD-US.5.43.23#

 

[m4v3r1ck]

Dat sloeg alleen op de melding over de RSA key.
Dat je niet kunt inloggen is een ander probleem. Heb je op de CloudKey SSH wel aangezet? Die staat bij G2 default uit.

Deze heb ik aangezet na de setup van de G2+, tevens ook maar het wachtwoord gewijzigd.



Toch kan ik geen connectie maken via SSH met het nieuwe wachtwoord.

 

[Hofstede]

Welke firmware versie heb je op de CloudKey?

Welke gebruikers zijn gedefinieerd? Heb je wel een user met local credentials?
Normaalgesproken is de gebruiker ubnt, en dan het wachtwoord dat je hebt ingesteld.

 

[m4v3r1ck]

Zie dat de oude SSH key verwijderen gelukt is. Normaal heb je maar één known_hosts bestand en dat kan je altijd controleren op je Mac met

ls ~/.ssh/

~ betekent je homefolder met de gebruiker waarmee je ingelogd bent op je Mac. En onder .ssh (een onzichtbare folder) zal in principe maar één bestand staan, die known_hosts.

MACPRO51:~ *****$ ls ~/.ssh/
known_hosts known_hosts.old

 

[m4v3r1ck]

Welke firmware versie heb je op de CloudKey?

Welke gebruikers zijn gedefinieerd? Heb je wel een user met local credentials?
Normaalgesproken is de gebruiker ubnt, en dan het wachtwoord dat je hebt ingesteld.

2.0.27
Check for Update
Last Checked March 13, 2021 at 10:37 AM

Ik ben als enige gebruiker aangemeld als "owner".



Daarnaast heb ik in ui account voor mijn gebruikers account een "local username" aangemaakt met het nieuwe wachtwoord.

 

[Hofstede]

Met zo’n local account kan ik ook niet inloggen via SSH.

Probeer het gewoon eens met gebruiker ‘ubnt’ en het SSH wachtwoord dat je geconfigureerd hebt via de webpagina (‘SSH password’).

Als ‘ubnt’ niet werkt is het waarschijnlijk ‘root’.

(Bij mij is het nog ’ubnt’ omdat ik met de CloudKey geupgrade ben van firmware 1.x naar 2.x)

 

[m4v3r1ck]

Super bedankt @Hofstede en @Stiibun voor jullie hulp en oplossing!

MACPRO51:~ *****$ ssh ubnt@192.168.1.2
The authenticity of host '192.168.1.2 (192.168.1.2)' can't be established.
RSA key fingerprint is 62:xx:xx:
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.2' (RSA) to the list of known hosts.
ubnt@192.168.1.2's password:
Linux UCK-G2-PLUS 3.18.44-ubnt-qcom #1 SMP Wed Jan 27 18:34:38 CST 2021 aarch64

Firmware version: v2.0.27
.--.__
______ __ .--( ) )-. __ __ __
| | (._____.__.___)_| | |__ _____ __ __ _| |_
| ---| || _ | | | _ | <| -__| | | |_ _|
|______|__||_____|_____|_____|__|__|_____|___ | |__|
(c) 2020 Ubiquiti Inc. |_____|

Welcome to the CloudKey Plus!
root@UCK-G2-PLUS:~#

1. Kan ik die lokale gebruiker gekoppeld aan mijn owner account gewoon weer verwijderen?
2. Is dit een wijziging in UniFiOS 2.0.27, dat je alleen met ubnt kunt inloggen?
3. Omdat jouw user ssh met user root terugkwam ook even user root geprobeerd

MACPRO51:~ *****$ ssh root@192.168.1.2
root@192.168.1.2's password:
Linux UCK-G2-PLUS 3.18.44-ubnt-qcom #1 SMP Wed Jan 27 18:34:38 CST 2021 aarch64
Firmware version: v2.0.27
.--.__
______ __ .--( ) )-. __ __ __
| | (._____.__.___)_| | |__ _____ __ __ _| |_
| ---| || _ | | | _ | <| -__| | | |_ _|
|______|__||_____|_____|_____|__|__|_____|___ | |__|
(c) 2020 Ubiquiti Inc. |_____|

Welcome to the CloudKey Plus!
Last login: Sat Mar 13 11:11:51 2021 from 192.168.1.100
root@UCK-G2-PLUS:~#

Even deze aanpassing noteren in mijn UniFiOS logboek dan maar...

 

[Hofstede]

Die locale gebruiker zou ik laten staan. Daarmee kun je lokaal inloggen op de web-interface van de CloudKey, anders kun je alleen inloggen via de cloud portal van UI.