IBM Support

QRadar : SSH がエラー「 Offending ECDSA key in /root/.ssh/known_hosts: 」で失敗します

Troubleshooting


Problem

SSH 鍵の不一致により、リモート・ホストへの SSH 接続に失敗し、「 Host key verification failed  」などのエラーが発生します。

 

Symptom

ホストへの SSH セッションを確立しようとすると、次のエラーが発生して失敗します。
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:JwHDVTX+Sl0K3+WDY3rOm5E5ww/TIlQnz1v7r9EUC8w.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /root/.ssh/known_hosts:X
ECDSA host key for X.X.X.X has changed and you have requested strict checking.
Host key verification failed.

Cause

リモート・ホストの SSH 鍵が変更されました。この問題はマイグレーション・プロセス中に発生する可能性があります。

Resolving The Problem

エラーを解決するには、次の手順を実行します。
  1. root ユーザーとして QRadar コンソールに SSH 接続します。
  2. リモート・ホストに SSH 接続して、エラーを確認します。 <remote_host> をリモート・ホストの IP またはホスト名に置き換えます。 
    ssh <remote_host>
    Offending ECDSA key のファイルと行に注目してください。この例では、/root/.ssh/known_hosts:4 です。
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:JwHDVTX+Sl0K3+WDY3rOm5E5ww/TIlQnz1v7r9EUC8w.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /root/.ssh/known_hosts:4
ECDSA host key for <Remote Host IP> has changed and you have requested strict checking.
Host key verification failed.
  3. ssh-keygen コマンドを使用して、/root/.ssh/known_hosts 内の問題のある鍵を削除します。 <remote_host> をリモート・ホストの IP またはホスト名に置き換えます。 
    ssh-keygen -R <remote_host>
    出力例 : 
    # Host <remote_host> found: line 4
/root/.ssh/known_hosts updated.
Original contents retained as /root/.ssh/known_hosts.old
  4. リモート・ホストに再度 SSH 接続して、問題が解決したかどうかを確認してください。 
    ssh <remote_host>

    結果
    管理者は問題の鍵の問題を解決し、リモート・ホストに SSH 接続できるようになりました。
    : SSH が以下のエラーメッセージで失敗する場合は、次の資料を参照してください : QRadar: SSH to host fails with error "No ECDSA host key is known for <Remote Host IP> and you have requested strict checking" 
    ERROR: No ECDSA host key is known for <Remote Host IP> and you have requested strict checking.
ERROR: Host key verification failed.

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
29 October 2023

UID

ibm17009285

Page Feedback