ssh-keyscan − collecte des clefs publiques ssh

ssh-keyscan I [−v46] [−p port] [−T timeout] [−t type] [−f file] [host | addrlist namelist] [...]

DESCRIPTION

ssh-keyscan est un utilitaire pour collecter des clefs publiques ssh depuis des machines. Il a été conçu pour faciliter la fabrication et la vérification des fichiers ssh_known_hosts. ssh-keyscan fournit une interface minimale appropriée pour une utilisation par scripts shell ou perl.

ssh-keyscan utilise des entrées/sorties (I/O) de socket non bloquantes pour contacter autant de machines que possible en parallèle, d’où son efficacité. Les clefs d’un parc d’un millier de machines peuvent être collecteés en quelques dizaines de secondes, même si certaines sont arrêtées ou n’exécutent pas ssh. Pour le balayage, on n’a pas besoin d’accès par login aux machines, et le parcours n’utilise pas de cryptage.

Les options sont les suivantes :

Port de l’hôte pour la connexion.

−T timeout
Spécifie une temporisation pour les tentatives de connexion. Si timeout secondes se sont écoulées depuis la dernière connexion, ou depuis la dernière réception depuis cette machine, alors la connexion est fermée, et la machine en question est considérée indisponible. Par défaut 5 secondes.

−t type
Specifie le type de clef à récupérer depuis les machines balayées. Les valeurs possibles sont « rsa1 » pour la version 1 du protocole et « rsa » ou « dsa » pour la version 2 du protocole. Des valeurs multiples, séparées par des virgules, sont possibles. Par défaut « rsa1 ».

−f filename
Lit les machines ou les paires addrlist namelist depuis ce fichier, une par ligne. Si - est spécifié à la place d’un nom de fichier, ssh-keyscan lit les machines ou les paires addrlist namelist depuis l’entrée standard.

−v’ Mode bavard. ssh-keyscan affiche des messages de debogage sur son avancement.

−4’ Force l’utilisation des adresses IPv4 uniquement par ssh-keyscan

−6’ Force l’utilisation des adresses IPv6 uniquement par ssh-keyscan

SECURITÃ

Si le fichier ssh_known_hosts a été fabriqué par ssh-keyscan sans vérification des clefs, les utilisateurs s’exposent à des attaques de type « man in the middle ». D’un autre côté, si le modèle de sécurité autorise un tel risque, ssh-keyscan peut faciliter la détection de fichiers de clefs trafiqués, ou signaler qu’une attaque de type « man in the middle » a eu lieu après la création du fichier ssh_known_hosts.

Affiche la clef rsa1 pour la machine hostname :

$ ssh-keyscan hostname

Trouve toutes les machines à partir du fichier ssh_hosts qui ont des clefs plus récentes, ou différentes de celles du fichier trié ssh_known_hosts :

$ ssh-keyscan -t rsa,dsa -f ssh_hosts | \

sort -u - ssh_known_hosts | diff ssh_known_hosts -

Format d’entrée :

1.2.3.4,1.2.4.4 name.my.domain,name,n.my.domain,n,1.2.3.4,1.2.4.4

Format de sortie pour des clefs rsa1 :

host-or-namelist bits exponent modulus

Format de sortie pour des clefs rsa et dsa :

host-or-namelist keytype base64-encoded-key

Avec des clefs de type keytype , soit ‘‘ssh-rsa’’ , soit ‘‘ssh-dsa’’.

/etc/ssh/ssh_known_hosts

On obtient des messages « Connection closed by remote host » à la console de toutes les machines balayées, si le serveur est plus ancien que la version 2.9, parce que le programme ouvre une connexion sur le port ssh, lit la clef publique, puis ferme la connexion dès qu’il a la clef.

ssh(1), sshd(8)

David Mazieres <dm@lcs.mit.edu> a écrit la version initiale, et Wayne Davison <wayned@users.sourceforge.net> a ajouté le support de la version 2 du protocole.