Startseite > Netzwerkverwaltung > ssh-keyscan

ssh-keyscan: SSH-Host-Schlüssel sammeln

Ein Dienstprogramm zum Sammeln der öffentlichen Host-Schlüssel von SSH-Servern. Die gesammelten Schlüssel werden zur Datei `~/.ssh/known_hosts` hinzugefügt, damit der SSH-Client die Identität des Servers bei der Verbindung überprüfen kann. Dies spielt eine wichtige Rolle bei der Verhinderung von Man-in-the-Middle-Angriffen.

Übersicht

ssh-keyscan sammelt die öffentlichen SSH-Schlüssel von einem oder mehreren Hosts und gibt sie an die Standardausgabe aus. Diese Schlüssel werden zur Datei `known_hosts` hinzugefügt, um die Sicherheit von SSH-Verbindungen zu erhöhen.

Hauptfunktionen

  • Sammeln von SSH-Host-Public-Keys
  • Unterstützung für die Aktualisierung der `known_hosts`-Datei
  • Schutz vor Man-in-the-Middle-Angriffen (MITM)
  • Scannen mehrerer Hosts oder bestimmter Ports

Wichtige Optionen

Die wichtigsten Optionen des Befehls ssh-keyscan steuern die Art und Weise, wie Schlüssel gesammelt werden, das Ausgabeformat und wie Zielhosts angegeben werden.

Schlüsselsammlung und Ausgabe

Erzeugter Befehl:

Kombinieren Sie die Befehle.

Beschreibung:

`ssh-keyscan` Führen Sie den Befehl aus.

Kombinieren Sie diese Optionen und führen Sie die Befehle virtuell zusammen mit der KI aus.

Anwendungsbeispiele

Erfahren Sie anhand verschiedener Anwendungsbeispiele von ssh-keyscan, wie Sie SSH-Host-Schlüssel effektiv sammeln und verwalten.

Schlüsselscan eines einzelnen Hosts

ssh-keyscan example.com

Zeigt alle öffentlichen Schlüssel eines angegebenen Hosts auf der Standardausgabe an.

Schlüssel zur known_hosts-Datei hinzufügen

ssh-keyscan -H example.com >> ~/.ssh/known_hosts

Sammelt die Schlüssel des Hosts und fügt sie zur Datei `~/.ssh/known_hosts` hinzu. Die Verwendung der Option `-H` zum Hashen des Hostnamens wird aus Sicherheitsgründen empfohlen.

Schlüsselscan eines bestimmten Ports

ssh-keyscan -p 2222 example.com

Scannt die Schlüssel von Hosts, die den SSH-Dienst auf einem anderen Port als dem Standard-SSH-Port (22) anbieten.

Hostliste aus Datei lesen

ssh-keyscan -f hosts.txt

Wenn die Datei `hosts.txt` Hostnamen pro Zeile auflistet, werden die Schlüssel aller Hosts in dieser Datei gescannt.

Nur bestimmte Schlüsseltypen scannen

ssh-keyscan -t rsa,ecdsa example.com

Sammelt nur RSA- und ECDSA-Schlüsseltypen.

Tipps & Hinweise

Nützliche Tipps und wichtige Sicherheitshinweise bei der Verwendung von ssh-keyscan.

Sicherheitsüberlegungen

  • Stellen Sie immer sicher, dass die gesammelten Schlüssel aus vertrauenswürdigen Quellen stammen. Insbesondere bei der ersten Verbindung zu einem Server ist es am sichersten, den Fingerabdruck des Schlüssels direkt vom Serveradministrator zu erhalten.
  • Die Datei `known_hosts` ist eine sensible Information und sollte mit geeigneten Dateiberechtigungen (normalerweise 600) geschützt werden.
  • `ssh-keyscan` sammelt nur die öffentlichen Schlüssel des Servers und versucht keine Authentifizierung beim Server. Daher können Schlüssel auch ohne Zugriffsberechtigung auf den Server gesammelt werden.

Verwendung in automatisierten Skripten

Beim Provisionieren neuer Server oder der zentralen Verwaltung von `known_hosts`-Dateien in großen Umgebungen kann `ssh-keyscan` in automatisierte Skripte integriert werden. Dies reduziert den Aufwand für die manuelle Schlüsseladdition und sorgt für eine konsistente Sicherheitspolitik.

Gleiche Kategorie Befehle

aria2c

aria2c: Mehrprotokoll-Download-Manager

curl

curl -I: HTTP-Header-Informationen abrufen

curl

curl: Datenübertragung und Ausgabe über URLs

curl-verbose

curl-verbose: Ausgabe detaillierter Kommunikationsinformationen von curl

dig

dig: DNS-Informationen abfragen