Mit virtuellen Maschinen, Rasp­berry Pi und Cloudinstanzen sind neue Linux-Server vergleichsweise flott neu aufgesetzt. Nach einer Neuinstallation steht hinter einer schon verwendeten Domain oder IP-Adresse also schnell mal ein ganz frisches Linux-System. Gab es zu dieser Adresse zuvor schon eine SSH-Verbindung, dann wird SSH das neue System unter dieser Adresse erst einmal ablehnen.

Jeder SSH-Server generiert bei der ersten Einrichtung einen kryptografischen Fingerabdruck. Bei der ersten Verbindung mit „ssh [Adresse]“ fragt der Client dann mit „Are you sure you want to continue connecting“, ob der Fingerabdruck gespeichert werden soll. Dies ist eine der Voraussetzungen für das SSH-Protokoll. Beschwert sich SSH dann später bei der gleichen Adresse über einen nicht passenden Fingerabdruck (das tut es lautstark mit „WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!“), dann ist das erst mal ein Alarmsignal. Jemand hat den Server geändert. War man das selbst, dann gilt es, den alten Fingerprint zu löschen. 

Es wäre zu umständlich, diesen mit einem Texteditor aus der Datei „~/.ssh/known_hosts“ im Home-Verzeichnis manuell zu suchen. Einfacher geht es mit einem SSH-Dienstprogramm:

ssh-keygen -R [Adresse]

Der Befehl löscht die Fingerabdrücke des angegebenen SSH-Servers aus dem SSH-Gedächtnis. Das ist insbesondere dann nützlich, wenn ein SSH-Server unter mehreren Domainnamen bekannt ist. Denn der Befehl entfernt alle identischen Fingerabdrücke.