zion -  ssh-keyscan

.Dd January 1, 1996 .Dt SSH-KEYSCAN 1 .Os

Nom

.Nm ssh-keyscan .Nd collecte des clefs publiques ssh

Résumé

.Nm ssh-keyscan I .Op Fl v46 .Op Fl p Ar port .Op Fl T Ar timeout .Op Fl t Ar type .Op Fl f Ar file .Op Ar host | addrlist namelist .Op Ar ...

Description

.Nm est un utilitaire pour collecter des clefs publiques ssh depuis des machines. Il a été conçu pour faciliter la fabrication et la vérification des fichiers .Pa ssh_known_hosts . .Nm fournit une interface minimale appropriée pour une utilisation par scripts shell ou perl.

.Nm utilise des entrées/sorties (I/O) de socket non bloquantes pour contacter autant de machines que possible en parallèle, d'où son efficacité. Les clefs d'un parc d'un millier de machines peuvent être collecteés en quelques dizaines de secondes, même si certaines sont arrêtées ou n'exécutent pas ssh. Pour le balayage, on n'a pas besoin d'accès par login aux machines, et le parcours n'utilise pas de cryptage.

Les options sont les suivantes : .Bl -tag -width Ds .It Fl p Ar port Port de l'hôte pour la connexion. .It Fl T Ar timeout Spécifie une temporisation pour les tentatives de connexion. Si .Pa timeout secondes se sont écoulées depuis la dernière connexion, ou depuis la dernière réception depuis cette machine, alors la connexion est fermée, et la machine en question est considérée indisponible. Par défaut 5 secondes. .It Fl t Ar type Specifie le type de clef à récupérer depuis les machines balayées. Les valeurs possibles sont « rsa1 » pour la version 1 du protocole et « rsa » ou « dsa » pour la version 2 du protocole. Des valeurs multiples, séparées par des virgules, sont possibles. Par défaut « rsa1 ». .It Fl f Ar filename Lit les machines ou les paires .Pa addrlist namelist depuis ce fichier, une par ligne. Si .Pa - est spécifié à la place d'un nom de fichier, .Nm lit les machines ou les paires .Pa addrlist namelist depuis l'entrée standard. .It Fl v Mode bavard. .Nm affiche des messages de debogage sur son avancement. .It Fl 4 Force l'utilisation des adresses IPv4 uniquement par .Nm . .It Fl 6 Force l'utilisation des adresses IPv6 uniquement par .Nm . .El

SecuritÉ

Si le fichier ssh_known_hosts a été fabriqué par .Nm sans vérification des clefs, les utilisateurs s'exposent à des attaques de type « man in the middle ». D'un autre côté, si le modèle de sécurité autorise un tel risque, .Nm peut faciliter la détection de fichiers de clefs trafiqués, ou signaler qu'une attaque de type « man in the middle » a eu lieu après la création du fichier ssh_known_hosts.

Exemples


Affiche la clef .Pa rsa1 pour la machine .Pa hostname : .Bd -literal $ ssh-keyscan hostname .Ed

Trouve toutes les machines à partir du fichier .Pa ssh_hosts qui ont des clefs plus récentes, ou différentes de celles du fichier trié .Pa ssh_known_hosts : .Bd -literal $ ssh-keyscan -t rsa,dsa -f ssh_hosts | e sort -u - ssh_known_hosts | diff ssh_known_hosts - .Ed

Fichiers

.Pa Format d'entrée : .Bd -literal 1.2.3.4,1.2.4.4 name.my.domain,name,n.my.domain,n,1.2.3.4,1.2.4.4 .Ed

.Pa Format de sortie pour des clefs rsa1 : .Bd -literal host-or-namelist bits exponent modulus .Ed

.Pa Format de sortie pour des clefs rsa et dsa : .Bd -literal host-or-namelist keytype base64-encoded-key .Ed

Avec des clefs de type .Pa keytype , soit .Dq ssh-rsa , soit .Dq ssh-dsa .

.Pa /etc/ssh/ssh_known_hosts

Bugs

On obtient des messages « Connection closed by remote host » à la console de toutes les machines balayées, si le serveur est plus ancien que la version 2.9, parce que le programme ouvre une connexion sur le port ssh, lit la clef publique, puis ferme la connexion dès qu'il a la clef.

Voir aussi

.Xr ssh 1 , .Xr sshd 8

Auteurs

David Mazieres <dm@lcs.mit.edu> a écrit la version initiale, et Wayne Davison <wayned@users.sourceforge.net> a ajouté le support de la version 2 du protocole.

Poster un commentaire
Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?