Sleva 50% všechny plány, časově omezená nabídka. Od $2.48/mo
10 minut zbývá
Bezpečnost a sítě

Varování: Remote Host Identification Has Changed a jak ho opravit

Rexa Cyrus By Rexa Cyrus 10 minut čtení Updated 72d ago
Okno terminálu zobrazující varovnou zprávu SSH o změně identifikace vzdáleného hostitele, s názvem průvodce opravou a brandingem Cloudzy na tmavě tyrkysovém pozadí.

SSH je bezpečný síťový protokol, který vytváří šifrovaný tunel mezi systémy. Zůstává populární mezi vývojáři, kteří potřebují vzdálený přístup k počítačům bez grafického rozhraní. Přestože SSH existuje desítky let a sloužil bezpečně nespočtu uživatelů, stále jej mohou postihovat určité chyby.

Mnoho těchto chyb se stalo známých v komunitě SSH a jejich řešení jsou dobře zdokumentována. Patří mezi ně Nekompatibilita brány firewall, Problémy s vkládáním veřejného klíče SSH, Problémy se souborem klíče režimu SSH, a chyba "Upozornění: identifikace vzdáleného hostitele se změnila".

Tato chyba se vyskytuje na všech hlavních operačních systémech, včetně Windows, Linux a macOS. Zdroj problému může být legitimní bezpečnostní problém spíše než jednoduchá technická chyba. V tomto článku vysvětlíme, proč k tomu dochází, co to znamená pro bezpečnost vašeho připojení SSH, a jak to vyřešit na každé hlavní platformě.

Co spustí upozornění: identifikace vzdáleného hostitele se změnila (a měli byste si dělat starosti?)

Upozornění "Identifikace vzdáleného hostitele se změnila" se objeví, když se veřejný klíč SSH uložený ve vašem known_hosts souboru neshoduje s klíčem, který server aktuálně předkládá. Tato neshodou spustí vestavěný bezpečnostní mechanismus SSH, aby vás chránil před potenciálními hrozbami.

Legitimní důvody pro změny klíčů hostitele

Existuje několik nevinných důvodů, které vysvětlují, proč se může klíč hostitele serveru změnit. Někdy uvidíte variace jako "Klíč hostitele RSA se změnil", v závislosti na konkrétním typu použitého klíče.

Infografika zobrazující změny serveru, které upravují klíče hostitele SSH, včetně upgradů operačního systému, opětovného vytvoření serveru, obnovení ze zálohy, migrace z fyzické na virtuální a resetování konfigurace SSH.
Změny související se serverem:

  • Operační systém serveru byl přeinstalován nebo upgradován
  • Server byl obnoven nebo obnoven ze zálohy
  • Konfigurace SSH serveru byla resetována
  • Fyzický nebo virtuální počítač byl nahrazen
  • Migrace serveru na nový hardware

Změny konfigurace sítě:

  • Poskytovatelé cloudu recyklují IP adresy v průběhu času, nebo se vaše připojení směruje přes nástroj pro vyvažování zátěže.
  • DHCP znovu přiřadil IP adresu jinému počítači
  • IP adresa vyřazeného serveru byla přiřazena novému systému
  • Záznamy DNS byly aktualizovány tak, aby odkazovaly na jiný server

Diagram sítě znázorňující DHCP server přiřazující dynamické IP adresy virtuálním počítačům, se vyřazením serveru a opětovným vydáním způsobujícím konflikty klíčů hostitele SSH.

Akce správy klíčů:

  • Správci systému ručně regenerovali klíče hostitele z bezpečnostních důvodů
  • Software serveru SSH byl přeinstalován
  • Zásady zabezpečení vyžadovaly rotaci klíčů

Je důležité si uvědomit, že změny hesla uživatele neovlivňují hostitelské klíče. Jedná se o oddělené mechanismy ověřování. Hostitelské klíče se mění pouze v případě, že se změní samotný server nebo jeho konfigurace SSH.

Kdy brát varování vážně

Přestože jsou mnohé změny hostitelských klíčů legitimní, mohlo by se jednat o skutečnou bezpečnostní hrozbu. Měli byste se obávat, pokud:

  • Jste neudělali na serveru žádné změny a nevíte o žádné plánované údržbě
  • Nemůžete ověřit důvod změny klíče u správce serveru
  • K serveru se přistupuje přes veřejné sítě nebo nedůvěryhodná připojení
  • Připojujete se k produkčním systémům nebo serverům obsahujícím citlivá data


Rozdělená obrazovka porovnávající legitimní změny SSH zobrazené zeleně s scénáři bezpečnostních hrozeb zobrazenými červeně, s postavou v kapuci reprezentující útoky typu man-in-the-middle.
Útoky typu man-in-the-middle jsou sice relativně vzácné, ale vyskytují se. Při takových útocích si útočník postaví mezi váš počítač a legitimní server a zachycuje veškerý provoz.

Chyba uživatele a sociální inženýrství se podílejí na 68 % porušení bezpečnosti, a proto je opatrnost klíčová. Své systémy můžete chránit lépe, když se seznámíte s prevencí útoku hrubou silou.

Poslední statistiky od IBM ukazují, že globální průměrné náklady na porušení dat byly v roce 2025 4,44 milionu dolarů, přičemž doba detekce se v průměru pohybovala kolem osmi měsíců. To ukazuje, proč existuje mechanismus ověřování hostitelských klíčů SSH a proč byste nikdy neměli ignorovat tato varování bez vyšetření.

Jak ověřit, zda je varování bezpečné

Než se pustíte do řešení problému, proveďte tyto ověřovací kroky:

Vývojový diagram zobrazující pět metod ověření pro potvrzení legitimních změn hostitelských klíčů SSH, včetně konzultace s týmem, kontaktu na poskytovatele hostingu, bezpečných kanálů a porovnání otisků.

  1. Poraďte se s týmem: Pokud sdílíte přístup k serveru, zeptejte se kolegů, zda dělali změny
  2. Zkontrolujte protokoly serveru: Zkontrolujte záznamy údržby nebo protokoly změn nedávné aktivity
  3. Kontaktujte poskytovatele hostingu: Pokud používáte cloudové služby, ověřte, zda došlo k údržbě
  4. Použijte bezpečný kanál: Pokud je to možné, připojte se prostřednictvím známé bezpečné sítě a ověřte otisk
  5. Porovnat otisky: Někteří poskytovatelé hostingu zobrazují aktuální otisky SSH v ovládacích panelech

Pokud si můžete potvrdit, že změna klíče byla oprávněná, můžete bezpečně pokračovat v odstranění starého klíče a přijetí nového.

Chcete-li se vyhnout přeřazení dynamické IP adresy nebo konfliktům hostitelských klíčů, volba infrastruktury hraje důležitou roli.

Cloudzy poskytuje Hosting SSH VPS s dedikovanými statickými IP adresami. Běžíte na procesorech AMD Ryzen 9 s úložištěm NVMe pro okamžité provedení příkazů. Naše síť dosahuje 40 Gbps přes 12 globálních míst. Navíc zahrnujeme bezplatnou ochranu DDoS, aby byla vaše připojení zabezpečená.

Jak opravit chybu "Remote Host Identification Has Changed"

Řešení je jednoduché: odeberte starý záznam klíče ze svého systému. Tím se odstraní neshoda a povolíte si uložit nový klíč při příštím připojení. Podívejte se na naši příručku o Klienti SSH pro další nástroje.

Navíc to zvládnete jedním příkazem nebo ručním úpravou souboru.

Metoda 1: Příkazový řádek (Nejrychlejší)

Tato metoda funguje pro macOS, Linux a Windows 10+ (s využitím OpenSSH). Jedná se o nejrychlejší způsob, jak chybu vyřešit. Další informace najdete v man stránka ssh-keygen

  1. Otevřete terminál.
  2. Spusťte tento příkaz (nahraďte hostname IP adresou nebo doménou vašeho serveru): 
ssh-keygen -R hostname
This command automatically finds the old key in your known_hosts file and deletes it.  Method 2: Manual File Editing (macOS)

Pokud upřednostňujete vizuální editor, můžete klíč smazat sami. Chybová zpráva obvykle přesně uvádí, který řádek odebrat.

Otevřete terminál a upravte soubor pomocí Nano:

nano ~/.ssh/known_hosts

Najděte řádek z chybové zprávy. Smažte jej a poté stiskněte Ctrl + X a Y ušetřit.

macOS terminálové okno s otevřeným textovým editorem nano se souborem known_hosts, zvýrazněný řádek k smazání s číslovanými kroky a pokyny k uložení.

Řešení pro Windows

Uživatelé Windows obvykle používají vestavěného klienta OpenSSH nebo PuTTY.

Možnost 1: Windows OpenSSH (Windows 10/11)

Na Windows 10 a 11 je OpenSSH volitelnou funkcí. Přidejte jej přes Nastavení > Aplikace > Volitelné funkce. Server 2025 obsahuje klienta, ale musíte jej zapnout.

Pokud používáte PowerShell nebo Command Prompt, příkaz ssh-keygen z Metody 1 funguje i zde.

Chcete-li místo toho upravit soubor ručně:

  1. Stiskněte Klávesa Windows + R.
  2. Typ %USERPROFILE%\.ssh a stiskněte Enter.
  3. Otevřít known_hosts soubor v Poznámkovém bloku.
  4. Odstraňte řádek, který způsobuje chybu, a uložte soubor.

Správné spravování klíčů najdete v naší příručce na generování klíčů SSH v Windows.

Možnost 2: Použití PuTTY

PuTTY ukládá klíče v registru Windows místo v souboru.

  1. Otevřete Editor registru (stiskněte Klávesa Windows + R, zadejte regedita stiskni Enter).
  2. Přejděte na: HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys\
  3. Najděte položku, která odpovídá názvu hostitele nebo IP adrese vašeho serveru.
  4. Klikněte na ni pravým tlačítkem a vyberte Odstranit.

Příkaz Windows PowerShell odstranění hostitele SSH s Průzkumníkem souborů zobrazujícím aktualizovaný soubor known_hosts a Editor registru PuTTY zobrazující dialogové okno potvrzení odstranění hostitele.

Řešení pro Linux

The ssh-keygen příkaz, který jsme se zabývali Metoda 1 je standardní způsob, jak to opravit v Linux. Je to rychlé a nativně podporované.

Ruční úpravy

Pokud preferujete zobrazit obsah souboru, můžete ho upravit textovým editorem, jako je Nano.

  1. Otevřete terminál.
  2. Typ nano ~/.ssh/known_hosts a stiskněte Enter.
  3. Najděte číslo řádku uvedené v chybové zprávě.
  4. Odstraňte řádek a stiskněte Ctrl + X a Y ušetřit.

Můžete také použít Vim (vim ~/.ssh/known_hosts), pokud jste s ním obeznámeni.

Terminál Linux zobrazující příkazy ssh-keygen k odstranění hostitelů SSH podle názvu a IP adresy, s potvrzením úspěchu a příklady souboru known_hosts.
Upozornění na zakázání kontrol

Můžete vynutit připojení SSH bez ověření, ale to je riskantní. Obchází ochranu proti útokům typu man-in-the-middle.

Tento přístup používejte pouze pro místní testování v důvěryhodných sítích. Pro macOS a Linux zadejte:

ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null [email protected]

Pokud jste na Windows, cesta Unix selže. Musíte použít NUL aby obejití fungoval:

ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=NUL [email protected]

Tyto přepsání nespouštějte na veřejných připojeních nebo produkčních serverech.

Oprava neshod klíčů je standardní údržba, ale máte možnost zajistit si ještě bezpečnější připojení. Roboty často útočí na výchozí port 22 hrubou silou. Můžete se vyhnout většině tohoto pozadního šumu tím, že změníte porty SSH v Linux na něco méně předvídatelného.

Diagram útoku "muž uprostřed" na SSH: útočník zachycuje komunikaci mezi klientem a serverem, klíč útočníka versus klíč serveru, zvýrazněna krádež dat a finanční ztráty.

Nikdy nepoužívejte tuto metodu na produkčních serverech nebo přes nedůvěryhodné sítě.

Jak příště zabránit zprávě "Identifikace vzdáleného hostitele se změnila"

Ačkoli nemůžete vždy zabránit legitimním změnám klíčů hostitele, můžete minimalizovat narušení a dodržovat lepší bezpečnostní postupy.

Stručný přehled

Vaše role Klíčové strategie
Správci systému Zálohujte klíče, dokumentujte změny, používejte certifikáty a pravidelně vyměňujte klíče
Běžní uživatelé Vedete inventář, ověřujete přes bezpečné kanály a monitorujete protokoly
Cloudové prostředí 

Uživatelé

 Používejte jména DNS, využijte nástroje poskytovatele a implementujte infrastrukturu jako kód

Infografika zobrazující osvědčené postupy správy klíčů SSH: používejte certifikáty SSH, jména DNS, infrastrukturu jako kód, zálohujte klíče hostitele, dokumentujte změny a zvažte použití bastion hostů.

Pro správce systémů

Zálohujte klíče hostitele: Uložte klíče z /etc/ssh/ před přeinstalací OS. Obnovte je později, abyste zabránili upozorněním pro vaše uživatele.

Dokumentujte plánované změny: Upozorněte uživatele před změnou klíčů a bezpečně sdílejte nové otisky prstů. To jim umožní ověřit připojení.

Používejte certifikáty SSH: Velké týmy by měly používat centrální certifikační autoritu. Ta podepisuje klíče hostitele a odstraňuje potřebu ruční verifikace.

Implementujte rotaci klíčů: Naplánujte si změny klíčů hostitele. Pravidelné aktualizace zvládá váš tým snadněji než překvapivé změny.

Pro běžné uživatele

Udržovat inventář: Vedete si osobní záznam otisků prstů serveru nebo používejte zabezpečenou dokumentaci vašeho týmu.

Ověřujte pomocí mimopásmové komunikace: Ověřujte klíče vůči důvěryhodnému zdroji, jako je cloudová konzole, nikoli proti neformálním zprávám.

Monitorovat protokoly: Pravidelně kontrolujte místní SSH logy na podezřelé vzory připojení nebo opakované chyby.

Používejte správu konfigurace: Spravujte dynamická vývojová prostředí pomocí SSH konfiguračních souborů bez snížení bezpečnostních nastavení.

Pro dynamická cloudová prostředí

Používejte DNS jména: Připojujte se přes názvy hostitelů místo IP adres. To zajistí konzistenci, když se základní adresa změní.

Využívejte cloudové nástroje: Získávejte aktuální otisky prstů z poskytovatelských konzolí. Ověřujte klíče proti těmto nástrojům před přijetím změn.

Infrastruktura jako kód: Automatizujte ověřování klíčů pomocí nástrojů jako Terraform. U pokročilých nastavení můžete také používat SSH SOCKS5 proxy.

Hostitelé Bastion: Nastavte přeskakované servery se stabilními klíči. Slouží jako bezpečné vstupní body do vaší dynamické infrastruktury.

Závěr

Upozornění "Warning: Remote Host Identification Has Changed" je důležitou bezpečnostní vlastností SSH, ne chybou, kterou lze ignorovat. Přestože se toto upozornění často zobrazuje z legitimních důvodů, jako je údržba serveru nebo změny konfigurace, chrání vás před útoky typu man-in-the-middle a neoprávněným přístupem.

Když se s tímto upozorněním setkáte, ověřte příčinu před tím, než budete pokračovat. Ve většině případů je řešení jednoduché: odeberte starý klíč hostitele pomocí metod popsaných pro váš operační systém a pak při příštím připojení přijměte nový klíč.

Pochopením fungování SSH klíčů hostitelů a dodržováním osvědčených postupů můžete udržovat bezpečnost i pohodlí při vzdáleném přístupu. Další informace o bezpečném přenosu souborů naleznete v kopírování souborů přes SSH.

 

Často kladené otázky

Měl bych brát upozornění "Warning: Remote Host Identification Has Changed" vážně?

Ano, vezměte si to k srdci. Znamená to, že se identita serveru změnila, což může signalizovat útok typu man-in-the-middle nebo jen běžnou údržbu. Vždy ověřte změnu u správce nebo poskytovatele před přijetím nového klíče a zajistěte tak bezpečnost.

Co způsobuje upozornění "Warning: Remote Host Identification Has Changed"?

Toto upozornění se zobrazí, když se aktuální otisk prstů serveru liší od toho v souboru known_hosts. Běžné příčiny zahrnují přeinstalace OS, přeřazení IP adres nebo resetování SSH konfigurace. Ve vzácných případech to znamená aktivní útok typu man-in-the-middle.

Může se tato chyba vyskytnout na různých operačních systémech?

Ano, toto upozornění se týká všech operačních systémů používajících SSH, včetně Windows, macOS a Linux. Pochází z bezpečnostní verifikace protokolu SSH. Přestože se metody řešení liší podle platformy, základní bezpečnostní spouštěč zůstává stejný ve všech systémech.

Jak zjistím, zda je změna klíče hostitele legitimní nebo se jedná o útok?

Chcete-li potvrdit legitimnost, zkontrolujte nedávnou údržbu, aktualizace OS nebo změny IP. Musíte ověřit nový otisk prstů vůči důvěryhodného zdroji, jako je konzole vašeho cloudového poskytovatele nebo potvrzení od správce systému, před připojením.

Zjednoduší mi vypnutí ověřování klíčů hostitele přístup k SSH?

Přidá pohodlí, ale odstraní bezpečnost. Vypnutí kontrol eliminuje ochranu před útoky typu man-in-the-middle a připojení se stanou zranitelná. Toto nastavení byste měli používat pouze v izolovaných testovacích prostředích, nikdy na produkčních serverech nebo veřejných sítích se citlivými daty.

Jak často by se měly měnit hostitelské klíče SSH?

Klíče hostitele obvykle nevyžadují pravidelnou rotaci. Měli byste je měnit pouze po obnově serveru, přeinstalaci OS nebo bezpečnostní incident. Časté změny ruší uživatele, proto upřednostňujte stabilitu a jasnou komunikaci, když jsou aktualizace nutné.

Sdílet

Další z blogu

Čtěte dál.

Titulní obrázek Cloudzy pro průvodce MikroTik L2TP VPN zobrazující laptop připojující se k serverovému racku přes zářící modrý a zlatý digitální tunel s ikonami štítů.
Bezpečnost a sítě

Nastavení MikroTik L2TP VPN (s IPsec): průvodce pro RouterOS (2026)

V tomto nastavení MikroTik L2TP VPN zajišťuje L2TP tunelování, zatímco IPsec řeší šifrování a integritu. Jejich kombinace poskytuje kompatibilitu s nativními klienty bez závislosti na třetistraných řešeních.

Rexa CyrusRexa Cyrus 9 min čtení
Ilustrace k průvodci odstraňováním problémů serveru DNS s varovnými symboly a modrým serverem na tmavém pozadí pro chyby překladu názvů Linux
Bezpečnost a sítě

Dočasné selhání překladu názvů: Co to znamená a jak to opravit?

Při používání Linux se může stát, že při přístupu na webové stránky, aktualizaci balíčků nebo provádění úkolů vyžadujících připojení k internetu narazíte na chybu dočasného selhání překladu názvů.

Rexa CyrusRexa Cyrus 12 minut čtení
Jak nasměrovat doménu na VPS: stručný návod
Bezpečnost a sítě

Jak nasměrovat doménu na VPS: stručný návod

Nasměrování domény na Virtual Private Server je nezbytné pro hostování webů a aplikací. Tento průvodce pokrývá vše, co potřebujete vědět o propojení vaší domény s vaším

Rexa CyrusRexa Cyrus 16 minut čtení

Připraveni nasadit? Od 2,48 $/měsíc.

Nezávislý cloud od roku 2008. AMD EPYC, NVMe, 40 Gbps. Vrácení peněz do 14 dní.

Nasadit VPS Zobrazit všechny plány