Когато работим със сървъри — независимо дали са виртуални машини, облачни инстанции или локални тестови среди — често се налага да сменяме или преинсталираме системи. В много случаи новият сървър използва старото IP, което е било асоциирано с предишна машина. Точно тогава SSH изписва добре познатото предупреждение:

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

За начинаещите това изглежда като грешка, а за напредналите — като вероятен намек за атака „man-in-the-middle“.
В действителност предупреждението е важна част от системата за сигурност на SSH.
В тази статия ще разгледаме:

• защо се появява това съобщение;
• как работи known_hosts;
• кога предупреждението е нормално и кога опасно;
• как правилно да го отстраните;
• как да избегнете подобни проблеми в бъдеще.

🛡️ 1. Защо SSH се оплаква, когато сървърът се смени?

Когато се логнете в сървър за първи път, SSH записва неговия криптографски „отпечатък“ — host key.
Този отпечатък се записва локално в:

~/.ssh/known_hosts

Там всеки ред изглежда приблизително така:

10.20.20.20 ssh-ed25519 AAAAC3NzaC1lZDI…

Така SSH знае кой сървър сте посещавали преди и как е изглеждал неговият ключ.

Какво се случва, когато IP-то остане същото, но машината е нова?

Новият сървър има друг host key. Когато се опитате да се свържете:

• SSH сравнява ключа, който получава, с този в known_hosts.
• Ключовете НЕ съвпадат.
• SSH смята, че това може да е атака.

Резултатът е добре познатият warning:

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

И връзката се блокира.

🧠 2. Кога предупреждението е нормално?

Информацията е безобидна в следните случаи:

• преинсталирали сте сървъра;
• сменили сте операционната система;
• създали сте нова VM, но със същото IP;
• сменили сте cloud инстанция (напр. AWS, Hetzner, DigitalOcean);
• сменили сте SSH ключовете ръчно.

В тези ситуации вие знаете, че сървърът е нов → значи няма риск.

🚨 3. Кога предупреждението може да е опасно?

Трябва да внимавате, ако:

• никой не е сменял сървъра;
• няма причина ключът да е различен;
• някой друг има достъп до мрежата;
• логвате се в публичен Wi-Fi.

В такъв случай е възможно някой да пренасочва трафика (MITM атака).

🔧 4. Как правилно се решава грешката

Когато знаете, че сървърът е нов и сте на безопасна среда, решението е много просто.

✔️ Стъпка 1: Изтриване на стария запис

Използвайте:

ssh-keygen -R <ip>

Пример:

ssh-keygen -R 10.20.20.20

Тази команда:

• открива всички редове за зададеното IP или hostname;
• ги премахва от ~/.ssh/known_hosts;
• създава резервно копие known_hosts.old.

✔️ Стъпка 2: Свържете се отново

ssh [email protected]

SSH ще ви попита:

Are you sure you want to continue connecting (yes/no)?

Въвеждате yes, и новият ключ ще бъде записан автоматично.

Може да ви е интересно още:

Ръководство за администриране на Proxmox VE

Proxmox VE е едно от най-популярните и гъвкави решения за виртуализация и управление на контейнери....

Въведение в Linux – от абсолютната нула до първите стъпки

Добре дошли в нашата серия уроци за Linux! Ако сте тук, вероятно сте чули за...

💡 5. Ръчно изтриване (ако е нужно)

Ако искате сами да проверите файла:

nano ~/.ssh/known_hosts

Намерете реда с IP/hostname → изтрийте го → запишете файла.

🧩 6. Проблеми, свързани с hostname, не с IP

Ако се логвате чрез домейн:

ssh-keygen -R server.example.com

SSH може да пази няколко записа — един за IP, един за hostname.
Тогава трябва да изтриете и двата.

🔄 7. Как да избегнете подобни проблеми в бъдеще

🟦 Вариант 1: Автоматично изчистване на ключа при циклации

Подходящо за тестови среди, DevOps и чести променливи VM-и.

Например:

ssh-keygen -R <ip>
ssh <user>@<ip>

Може да се сложи дори в alias:

alias ssr='ssh-keygen -R $1 && ssh $1'

🟥 Вариант 2: Изключване на проверката (НЕ се препоръчва в продукция)

В ~/.ssh/config:

Host *
    StrictHostKeyChecking no
    UserKnownHostsFile /dev/null

Това изключва сигурност и е подходящо само за временни тестове.

🟩 Вариант 3: Използване на стабилни DNS имена вместо IP

Ако IP адресът се променя, но DNS записът сочи към коректния сървър, може само един запис да бъде управляван.

🤖 8. Скрипт: автоматично премахване на стар host key и повторен опит

Ето практичен Bash скрипт, който можеш да ползваш:

#!/bin/bash

TARGET="$1"

if [ -z "$TARGET" ]; then
    echo "Използване: $0 <ip или hostname>"
    exit 1
fi

echo "[*] Премахвам старите SSH host keys за: $TARGET"
ssh-keygen -R "$TARGET" >/dev/null

echo "[*] Опит за свързване..."
ssh "$TARGET"

Съхраняваш го като sshfix.sh, даваш права:

chmod +x sshfix.sh

и го изпълняваш:

./sshfix.sh 10.20.20.20

🧾 Заключение

Грешката „WARNING: Remote host identification has changed!“ не е бъг, а важен защитен механизъм. Тя показва, че SSH забелязва несъответствие между стария и новия криптографски отпечатък на сървъра.
В повечето случаи — особено ако често преизграждате машини — предупреждението е нормално и безопасно.
Решението е просто:

1. Изтривате стария host key (ssh-keygen -R <ip>).
2. Свързвате се отново и приемате новия ключ.

С тези знания лесно ще управлявате множество сървъри, без да се стряскате от това предупреждение.

Федя Серафиев

Федя Серафиев e собственик на уебсайта urocibg.eu. Той намира удовлетворение в това да помага на хората да решават и най-сложните технически проблеми. Сегашната му цел е да пише лесни за следване статии, така че подобни проблеми изобщо да не възникват.