Linux |
CentOS 4.8 |
|
ssh-keyscan(1) |
NOM
ssh-keyscan − collecte des clefs publiques ssh |
SYNOPSIS
ssh-keyscan I [−v46] [−p port] [−T timeout] [−t type] [−f file] [host | addrlist namelist] [...] |
DESCRIPTION |
ssh-keyscan est un utilitaire pour collecter des clefs publiques ssh depuis des machines. Il a été conçu pour faciliter la fabrication et la vérification des fichiers ssh_known_hosts. ssh-keyscan fournit une interface minimale appropriée pour une utilisation par scripts shell ou perl. ssh-keyscan utilise des entrées/sorties (I/O) de socket non bloquantes pour contacter autant de machines que possible en parallèle, d’où son efficacité. Les clefs d’un parc d’un millier de machines peuvent être collecteés en quelques dizaines de secondes, même si certaines sont arrêtées ou n’exécutent pas ssh. Pour le balayage, on n’a pas besoin d’accès par login aux machines, et le parcours n’utilise pas de cryptage. Les options sont les suivantes : |
−p port
Port de l’hôte pour la connexion. −T timeout −t type −f filename −v’ Mode bavard. ssh-keyscan affiche des messages de debogage sur son avancement. −4’ Force l’utilisation des adresses IPv4 uniquement par ssh-keyscan −6’ Force l’utilisation des adresses IPv6 uniquement par ssh-keyscan SECURITà |
Si le fichier ssh_known_hosts a été fabriqué par ssh-keyscan sans vérification des clefs, les utilisateurs s’exposent à des attaques de type « man in the middle ». D’un autre côté, si le modèle de sécurité autorise un tel risque, ssh-keyscan peut faciliter la détection de fichiers de clefs trafiqués, ou signaler qu’une attaque de type « man in the middle » a eu lieu après la création du fichier ssh_known_hosts. |
EXEMPLES
Affiche la clef rsa1 pour la machine hostname : $ ssh-keyscan hostname Trouve toutes les machines à partir du fichier ssh_hosts qui ont des clefs plus récentes, ou différentes de celles du fichier trié ssh_known_hosts : $ ssh-keyscan -t rsa,dsa -f ssh_hosts | \ |
sort -u - ssh_known_hosts | diff ssh_known_hosts - |
FICHIERS
Format d’entrée : 1.2.3.4,1.2.4.4 name.my.domain,name,n.my.domain,n,1.2.3.4,1.2.4.4 Format de sortie pour des clefs rsa1 : host-or-namelist bits exponent modulus Format de sortie pour des clefs rsa et dsa : host-or-namelist keytype base64-encoded-key Avec des clefs de type keytype , soit ‘‘ssh-rsa’’ , soit ‘‘ssh-dsa’’. /etc/ssh/ssh_known_hosts |
BOGUES
On obtient des messages « Connection closed by remote host » à la console de toutes les machines balayées, si le serveur est plus ancien que la version 2.9, parce que le programme ouvre une connexion sur le port ssh, lit la clef publique, puis ferme la connexion dès qu’il a la clef. |
VOIR AUSSI
ssh(1), sshd(8) |
AUTEURS
David Mazieres <dm@lcs.mit.edu> a écrit la version initiale, et Wayne Davison <wayned@users.sourceforge.net> a ajouté le support de la version 2 du protocole. |
ssh-keyscan(1) |