50% zniżki wszystkie plany, ograniczony czas. Rozpoczęcie o godz $2.48/mo
Pozostało 10 minut
Bezpieczeństwo i sieć

Ostrzeżenie: identyfikacja hosta zdalnego uległa zmianie i jak to naprawić

Rexa Cyrus By Rexa Cyrus 10 minut czytania Zaktualizowano 52 dni temu
Okno terminala wyświetlające komunikat ostrzegawczy SSH o zmianie identyfikacji zdalnego hosta, z tytułem Fix Guide i logo Cloudzy na ciemnoturkusowym tle.

SSH to bezpieczny protokół sieciowy, który tworzy szyfrowany tunel pomiędzy systemami. Pozostaje popularny wśród programistów, którzy potrzebują zdalnego dostępu do komputerów bez konieczności posiadania graficznego interfejsu użytkownika. Choć protokół SSH istnieje już od kilkudziesięciu lat i niezawodnie obsługuje niezliczoną liczbę użytkowników, nadal mogą na nim występować pewne błędy.

Wiele z tych błędów stało się dobrze znanych w społeczności SSH, a ich obejścia są szeroko udokumentowane. Należą do nich niezgodność zapory ogniowej, Problemy z wstrzykiwaniem klucza publicznego SSH, Problemy z trybem klucza pliku SSHi błąd „Ostrzeżenie: identyfikacja hosta zdalnego uległa zmianie”.

Ten błąd występuje we wszystkich głównych systemach operacyjnych, w tym Windows, Linux i macOS. Źródłem problemu może być uzasadniona obawa dotycząca bezpieczeństwa, a nie zwykła usterka techniczna. W tym artykule wyjaśnimy, dlaczego tak się dzieje, co to oznacza dla bezpieczeństwa połączenia SSH i jak rozwiązać ten problem na każdej głównej platformie.

Co powoduje wyświetlenie ostrzeżenia: Zdalna identyfikacja hosta uległa zmianie (i czy należy się martwić?)

Komunikat „Ostrzeżenie: Zmieniła się identyfikacja hosta zdalnego” pojawia się, gdy klucz publiczny SSH przechowywany w Twoim komputerze znane_hosty plik nie pasuje do klucza aktualnie prezentowanego przez serwer. Ta niezgodność uruchamia wbudowany mechanizm bezpieczeństwa SSH, który chroni Cię przed potencjalnymi zagrożeniami.

Uzasadnione powody zmian klucza hosta

Kilka niewinnych powodów wyjaśnia, dlaczego klucz hosta serwera może się zmienić. Czasami zobaczysz odmiany, takie jak „Zmienił się klucz hosta RSA”, w zależności od konkretnego używanego typu klucza.

Infografika przedstawiająca zmiany na serwerze, które modyfikują klucze hosta SSH, w tym aktualizacje systemu operacyjnego, przebudowy serwerów, przywracanie kopii zapasowych, migrację fizyczną do wirtualnej i resetowanie konfiguracji SSH.
Zmiany związane z serwerem:

  • System operacyjny serwera został ponownie zainstalowany lub zaktualizowany
  • Serwer został odbudowany lub przywrócony z kopii zapasowej
  • Konfiguracja SSH serwera została zresetowana
  • Wymieniono maszynę fizyczną lub wirtualną
  • Migracja serwera na nowy sprzęt

Zmiany w konfiguracji sieci:

  • Dostawcy usług w chmurze z biegiem czasu przetwarzają adresy IP lub trasy połączeń za pośrednictwem modułu równoważenia obciążenia.
  • DHCP ponownie przypisał adres IP do innego komputera
  • Adres IP wycofanego serwera został przypisany do nowego systemu
  • Rekordy DNS zostały zaktualizowane, aby wskazywały inny serwer

Schemat sieciowy przedstawiający serwer DHCP przypisując dynamiczne adresy IP maszynom wirtualnym, przy czym likwidacja i ponowne wydanie serwera powoduje konflikty kluczy hosta SSH.

Kluczowe działania zarządcze:

  • Administratorzy systemu ręcznie ponownie wygenerowali klucze hosta ze względów bezpieczeństwa
  • Oprogramowanie serwera SSH zostało ponownie zainstalowane
  • Zasady bezpieczeństwa wymagały rotacji kluczy

Należy pamiętać, że zmiany hasła użytkownika nie mają wpływu na klucze hosta. Reprezentują one oddzielne mechanizmy uwierzytelniania. Klucze hosta zmieniają się tylko wtedy, gdy modyfikuje się sam serwer lub jego konfigurację SSH.

Kiedy poważnie potraktować ostrzeżenie

Chociaż wiele zmian kluczy hosta jest uzasadnionych, może to wskazywać na rzeczywiste zagrożenie bezpieczeństwa. Powinieneś się niepokoić, jeśli:

  • Nie wprowadziłeś żadnych zmian na serwerze ani nie wiesz o żadnej zaplanowanej konserwacji
  • Nie możesz zweryfikować przyczyny zmiany klucza u administratora serwera
  • Dostęp do serwera jest możliwy za pośrednictwem sieci publicznych lub niezaufanych połączeń
  • Łączysz się z systemami produkcyjnymi lub serwerami zawierającymi wrażliwe dane


Podzielony ekran porównujący uzasadnione zmiany SSH pokazane na zielono ze scenariuszami zagrożeń bezpieczeństwa na czerwono, przedstawiającymi zakapturzoną postać przedstawiającą ataki typu man-in-the-middle.
Ataki typu „man-in-the-middle” zdarzają się, choć stosunkowo rzadko. Podczas takich ataków przeciwnik umieszcza się pomiędzy Twoim komputerem a legalnym serwerem, przechwytując cały ruch.

Błąd ludzki i inżynieria społeczna odpowiadają za 68% naruszeń bezpieczeństwa, dlatego czujność jest kluczowa. Możesz dodatkowo chronić swoje systemy, dowiadując się o tym zapobieganie atakom brute-force.

Najnowsze statystyki IBM pokazują, że średni globalny koszt a naruszenie danych wyniósł 4,44 mln dolarów w 2025 r., a czas wykrycia wynosił średnio osiem miesięcy. To pokazuje, dlaczego istnieje mechanizm weryfikacji klucza hosta SSH i dlaczego nigdy nie należy ignorować tych ostrzeżeń bez sprawdzenia.

Jak sprawdzić, czy ostrzeżenie jest bezpieczne

Zanim przystąpisz do rozwiązywania problemu, wykonaj następujące kroki weryfikacyjne:

Schemat blokowy przedstawiający pięć metod weryfikacji potwierdzania prawidłowych zmian klucza hosta SSH, w tym konsultacje z zespołem, kontakt z dostawcą usług hostingowych, bezpieczne kanały i porównanie odcisków palców.

  1. Sprawdź w swoim zespole: Jeśli udostępniasz dostęp do serwera, zapytaj współpracowników, czy dokonali zmian
  2. Przejrzyj logi serwera: Sprawdź zapisy konserwacji lub dzienniki zmian dotyczące ostatniej aktywności
  3. Skontaktuj się ze swoim dostawcą usług hostingowych: Jeśli korzystasz z usług w chmurze, sprawdź, czy wystąpiła konserwacja
  4. Użyj bezpiecznego kanału: Jeśli to możliwe, połącz się za pośrednictwem znanej bezpiecznej sieci, aby zweryfikować odcisk palca
  5. Porównaj odciski palców: Niektórzy dostawcy usług hostingowych wyświetlają aktualne odciski palców SSH w swoich panelach sterowania

Jeśli możesz potwierdzić, że zmiana klucza była uzasadniona, możesz bezpiecznie przystąpić do usunięcia starego klucza i zaakceptowania nowego.

Jeśli chcesz uniknąć dynamicznego przypisywania adresów IP lub konfliktów kluczy hostów, wybrana infrastruktura odgrywa dużą rolę.

Cloudzy zapewnia Hosting SSH VPS z dedykowanymi statycznymi adresami IP. Działasz na procesorach AMD Ryzen 9 z pamięcią masową NVMe, co umożliwia natychmiastowe wykonywanie poleceń. Nasza sieć osiąga prędkość 40 Gb/s w 12 lokalizacjach na całym świecie. Dodatkowo zapewniamy bezpłatną ochronę DDoS, która zapewnia bezpieczeństwo Twojego połączenia.

Jak naprawić błąd „Zmieniła się identyfikacja hosta zdalnego”.

Rozwiązanie jest proste: usuń stary rekord klucza ze swojego systemu. Spowoduje to usunięcie niezgodności i umożliwi zapisanie nowego klucza przy następnym połączeniu. Sprawdź nasz poradnik dot Klienci SSH aby uzyskać więcej narzędzi.

Ponadto możesz to zrobić za pomocą jednego polecenia lub ręcznie edytując plik.

Metoda 1: Wiersz poleceń (najszybszy)

Ta metoda działa w systemach macOS, Linux i Windows 10+ (przy użyciu OpenSSH). Jest to najszybszy sposób usunięcia błędu. Aby uzyskać więcej informacji, możesz przeczytać strona man ssh-keygen

  1. Otwórz terminal.
  2. Uruchom to polecenie (zamień nazwa hosta z adresem IP lub domeną Twojego serwera): 
ssh-keygen -R hostname
This command automatically finds the old key in your known_hosts file and deletes it.  Method 2: Manual File Editing (macOS)

Jeśli wolisz edytor wizualny, możesz samodzielnie usunąć klucz. Komunikat o błędzie zwykle informuje dokładnie, który numer linii należy usunąć.

Otwórz terminal i edytuj plik za pomocą Nano:

nano ~/.ssh/known_hosts

Znajdź wiersz z komunikatu o błędzie. Usuń go, a następnie naciśnij Ctrl + X I Y zapisać.

Okno terminala macOS pokazujące otwarty edytor tekstu nano z plikiem znane_hosty, podświetloną linię do usunięcia wraz z ponumerowanymi krokami i wyświetlonymi instrukcjami zapisywania.

Rozwiązanie dla Windowsa

Użytkownicy systemu Windows zazwyczaj korzystają z wbudowanego klienta OpenSSH lub PuTTY.

Opcja 1: Windows OpenSSH (Windows 10/11)

W systemach Windows 10 i 11 OpenSSH jest funkcją opcjonalną. Dodaj go poprzez Ustawienia > Aplikacje > Funkcje opcjonalne. Server 2025 zawiera klienta, ale należy go włączyć.

Jeśli używasz programu PowerShell lub wiersza poleceń, plik ssh-keygen polecenie z metody 1 działa również tutaj.

Aby zamiast tego edytować plik ręcznie:

  1. Naciskać Klawisz Windows + R.
  2. Typ %USERPROFILE%\.ssh i naciśnij Wchodzić.
  3. Otwórz znane_hosty plik w Notatniku.
  4. Usuń linię powodującą błąd i zapisz plik.

Informacje na temat prawidłowego zarządzania kluczami można znaleźć w naszym przewodniku na temat generowanie kluczy SSH w systemie Windows.

Opcja 2: Korzystanie z PuTTY

PuTTY przechowuje klucze w rejestrze systemu Windows, a nie w pliku.

  1. Otwórz Edytor rejestru (naciśnij Klawisz Windows + R, typ regediti uderzył Wchodzić).
  2. Przejdź do: HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys\
  3. Znajdź wpis pasujący do nazwy hosta lub adresu IP Twojego serwera.
  4. Kliknij go prawym przyciskiem myszy i wybierz Usuwać.

Polecenie programu Windows PowerShell usuwające klucz hosta SSH przy użyciu Eksploratora plików pokazującego zaktualizowany plik znane_hosty i Edytora rejestru PuTTY wyświetlającego okno dialogowe potwierdzenia usunięcia klucza hosta.

Rozwiązanie dla Linuksa

The ssh-keygen polecenie, które omówiliśmy Metoda 1 to standardowy sposób naprawienia tego problemu w systemie Linux. Jest szybki i natywnie obsługiwany.

Ręczna edycja

Jeśli wolisz zobaczyć zawartość pliku, możesz go edytować za pomocą edytora tekstu, takiego jak Nano.

  1. Otwórz terminal.
  2. Typ nano ~/.ssh/znane_hosty i naciśnij Wchodzić.
  3. Znajdź numer linii wymieniony w komunikacie o błędzie.
  4. Usuń linię, a następnie naciśnij Ctrl + X I Y zapisać.

Możesz także użyć Krzepa (vim ~/.ssh/znane_hosty), jeśli go znasz.

Terminal Linux pokazujący polecenia ssh-keygen służące do usuwania kluczy hosta SSH według nazwy hosta i adresu IP, z potwierdzeniem powodzenia i przykładami plików znanych_hostów.
Ostrzeżenie dotyczące wyłączania kontroli

Możesz wymusić połączenie SSH bez weryfikacji, ale jest to ryzykowne. Omija ochronę przed atakami typu man-in-the-middle.

Używaj tego podejścia tylko do testów lokalnych w zaufanych sieciach. W przypadku systemów macOS i Linux wpisz to:

ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null [email protected]

Jeśli korzystasz z systemu Windows, ścieżka uniksowa kończy się niepowodzeniem. Musisz użyć NUL aby obejście zadziałało:

ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=NUL [email protected]

Nie uruchamiaj tych zastąpień w połączeniach publicznych ani na działających serwerach.

Naprawianie niezgodności kluczy to rutynowa konserwacja, ale możesz zrobić więcej, aby zabezpieczyć połączenie. Boty często atakują domyślny port 22 za pomocą brutalnej siły. Większości tego hałasu w tle można uniknąć zmiana portów SSH w systemie Linux do czegoś mniej przewidywalnego.

Schemat ataku typu man-in-the-middle na SSH: atakujący przechwytujący połączenie klient-serwer, klucz atakującego kontra klucz serwera, podkreślona kradzież danych i straty finansowe.

Nigdy nie używaj tej metody w przypadku serwerów produkcyjnych lub w niezaufanych sieciach.

Jak następnym razem zapobiec wyświetlaniu komunikatu „Identyfikacja hosta zdalnego uległa zmianie”.

Chociaż nie zawsze możesz zapobiec uzasadnionym zmianom kluczy hosta, możesz zminimalizować zakłócenia i zachować lepsze praktyki bezpieczeństwa.

Skrócona instrukcja obsługi

Twoja rola Kluczowe strategie
Administratorzy systemu Twórz kopie zapasowe kluczy, dokumentuj zmiany, korzystaj z certyfikatów i regularnie zmieniaj klucze
Zwykli użytkownicy Utrzymuj zapasy, weryfikuj za pomocą bezpiecznych kanałów i monitoruj dzienniki
Środowisko chmurowe 

Użytkownicy

 Używaj nazw DNS, korzystaj z narzędzi dostawców i wdrażaj infrastrukturę jako kod

Infografika przedstawiająca najlepsze praktyki zarządzania kluczami SSH: używaj certyfikatów SSH, nazw DNS, infrastruktury jako kodu, twórz kopie zapasowe kluczy hosta, dokumentuj zmiany i rozważ hosty bastionowe.

Dla administratorów systemu

Utwórz kopię zapasową kluczy hosta: Zapisz klucze z /etc/ssh/ przed ponowną instalacją systemu operacyjnego. Przywróć je później, aby zapobiec wyświetlaniu ostrzeżeń użytkownikom.

Dokumentuj planowane zmiany: Powiadom użytkowników przed zmianą kluczy i bezpiecznie udostępnij nowe odciski palców. Dzięki temu mogą zweryfikować połączenie.

Użyj certyfikatów SSH: Duże zespoły powinny korzystać z centralnego urzędu certyfikacji. Podpisuje to klucze hosta i eliminuje potrzebę ręcznej weryfikacji.

Zaimplementuj rotację klucza: Zaplanuj zmiany klucza hosta. Przewidywalne aktualizacje są łatwiejsze dla Twojego zespołu niż te niespodziewane.

Dla zwykłych użytkowników

Utrzymuj zapasy: Prowadź osobisty rejestr odcisków palców serwera lub korzystaj z bezpiecznej dokumentacji swojego zespołu.

Weryfikacja poprzez Out-of-Band: Potwierdź klucze w zaufanym źródle, takim jak konsola w chmurze, a nie w przypadkowych wiadomościach.

Monitoruj dzienniki: Regularnie sprawdzaj lokalne dzienniki SSH pod kątem dziwnych wzorców połączeń lub powtarzających się błędów.

Użyj zarządzania konfiguracją: Użyj plików konfiguracyjnych SSH, aby obsługiwać dynamiczne środowiska deweloperskie bez obniżania ustawień zabezpieczeń.

Dla dynamicznych środowisk chmurowych

Użyj nazw DNS: Połącz się, używając nazw hostów, a nie adresów IP. Pozwala to zachować spójność w przypadku zmiany adresu bazowego.

Wykorzystaj narzędzia w chmurze: Użyj konsoli dostawców, aby pobrać aktualne odciski palców. Przed zaakceptowaniem zmian zweryfikuj klucze w oparciu o te narzędzia.

Infrastruktura jako kod: Zautomatyzuj weryfikację kluczy za pomocą narzędzi takich jak Terraform. W przypadku zaawansowanych konfiguracji jest to również możliwe użyj serwerów proxy SSH SOCKS5.

Gospodarze Bastionu: Skonfiguruj serwery skoków ze stabilnymi kluczami. Działają one jako bezpieczne punkty wejścia do Twojej dynamicznej infrastruktury.

Wniosek

„Ostrzeżenie: Zmieniła się identyfikacja hosta zdalnego” to ważna funkcja bezpieczeństwa SSH, a nie wada, którą należy zignorować. Chociaż to ostrzeżenie często pojawia się z uzasadnionych powodów, takich jak konserwacja serwera lub zmiany konfiguracji, odgrywa kluczową rolę w ochronie przed atakami typu man-in-the-middle i nieautoryzowanym dostępem.

Jeśli pojawi się to ostrzeżenie, przed kontynuowaniem sprawdź przyczynę. W większości przypadków rozwiązanie jest proste: usuń stary klucz hosta, korzystając z metod podanych dla Twojego systemu operacyjnego, a następnie zaakceptuj nowy klucz przy następnym połączeniu.

Ucząc się, jak działają klucze hosta SSH i postępując zgodnie z najlepszymi praktykami, możesz zachować zarówno bezpieczeństwo, jak i wygodę w przepływach pracy związanych ze zdalnym dostępem. Więcej informacji na temat bezpiecznego przesyłania plików można znaleźć w artykule kopiowanie plików przez SSH.

 

Często zadawane pytania

Czy powinienem pojąć ostrzeżenie: zdalna identyfikacja hosta uległa poważnej zmianie?

Tak, potraktuj to poważnie. Oznacza to zmianę tożsamości serwera, co może sygnalizować atak typu man-in-the-middle lub po prostu rutynową konserwację. Aby zapewnić bezpieczeństwo, zawsze sprawdź zmianę u administratora lub dostawcy przed zaakceptowaniem nowego klucza.

Co powoduje ostrzeżenie: Zdalna identyfikacja hosta uległa zmianie?

To ostrzeżenie pojawia się, gdy bieżący odcisk palca serwera jest niezgodny z tym w pliku znane_hosty. Typowe przyczyny to ponowna instalacja systemu operacyjnego, zmiana przypisania adresu IP lub resetowanie konfiguracji SSH. W rzadkich przypadkach oznacza aktywne przechwycenie ataku typu „man-in-the-middle”.

Czy ten błąd może wystąpić w różnych systemach operacyjnych?

Tak, to ostrzeżenie dotyczy wszystkich systemów operacyjnych korzystających z protokołu SSH, w tym Windows, macOS i Linux. Wynika to z weryfikacji bezpieczeństwa protokołu SSH. Chociaż metody naprawy różnią się w zależności od platformy, podstawowy wyzwalacz zabezpieczeń pozostaje taki sam w każdym systemie.

Skąd mam wiedzieć, czy zmiana klucza hosta jest uzasadniona, czy stanowi atak?

Aby potwierdzić legalność, sprawdź dostępność ostatniej konserwacji, aktualizacji systemu operacyjnego lub zmian adresu IP. Przed połączeniem musisz zweryfikować nowy odcisk palca w zaufanym źródle, takim jak konsola dostawcy usług w chmurze lub potwierdzenie od administratora systemu.

Czy wyłączenie sprawdzania klucza hosta sprawi, że SSH będzie wygodniejsze?

Zwiększa wygodę, ale usuwa bezpieczeństwo. Wyłączenie kontroli zabija ochronę przed atakami typu man-in-the-middle, narażając połączenia na zagrożenia. Tego ustawienia należy używać wyłącznie w odizolowanych środowiskach testowych, nigdy na serwerach produkcyjnych lub w sieciach publicznych zawierających wrażliwe dane.

Jak często należy zmieniać klucze hosta SSH?

Klucze hosta na ogół nie wymagają regularnej rotacji. Zwykle należy je zmienić dopiero po przebudowie serwera, ponownej instalacji systemu operacyjnego lub naruszeniu bezpieczeństwa. Częste zmiany zakłócają pracę użytkowników, dlatego priorytetem jest stabilność i jasna komunikacja, gdy konieczne są aktualizacje.

Udział

Więcej z bloga

Czytaj dalej.

Obraz tytułowy Cloudzy do przewodnika MikroTik L2TP VPN, przedstawiający laptopa łączącego się z szafą serwerową poprzez świecący niebiesko-złoty cyfrowy tunel z ikonami tarcz.
Bezpieczeństwo i sieć

Konfiguracja MikroTik L2TP VPN (z IPsec): Przewodnik po RouterOS (2026)

W tej konfiguracji MikroTik L2TP VPN, L2TP obsługuje tunelowanie, podczas gdy IPsec obsługuje szyfrowanie i integralność; ich sparowanie zapewnia zgodność z klientem natywnym bez wieku osób trzecich

Rexa CyrusRexa Cyrus 9 minut czytania
Ilustracja przewodnika rozwiązywania problemów z serwerem DNS z symbolami ostrzegawczymi i niebieskim serwerem na ciemnym tle w przypadku błędów rozpoznawania nazw w systemie Linux
Bezpieczeństwo i sieć

Tymczasowa awaria rozpoznawania nazw: co to oznacza i jak to naprawić?

Podczas korzystania z Linuksa możesz napotkać tymczasowy błąd rozpoznawania nazw podczas próby uzyskania dostępu do stron internetowych, aktualizacji pakietów lub wykonywania zadań wymagających połączenia internetowego

Rexa CyrusRexa Cyrus 12 minut czytania
Jak wskazać domenę na VPS: krótki przewodnik
Bezpieczeństwo i sieć

Jak wskazać domenę na VPS: krótki przewodnik

Skierowanie domeny na Wirtualny Serwer Prywatny jest niezbędne do hostowania stron internetowych i aplikacji. W tym przewodniku znajdziesz wszystko, co musisz wiedzieć o łączeniu domeny z domeną

Rexa CyrusRexa Cyrus 16 minut czytania

Gotowy do wdrożenia? Od 2,48 USD/mies.

Niezależna chmura, od 2008. AMD EPYC, NVMe, 40 Gbps. 14-dniowy zwrot pieniędzy.

Wdróż VPS Zobacz wszystkie plany