accueil > Gestion réseau > ssh-keyscan

ssh-keyscan : Collecter les clés d'hôte SSH

Utilité pour collecter les clés publiques des hôtes SSH. Les clés collectées sont ajoutées au fichier `~/.ssh/known_hosts`, permettant au client SSH de vérifier l'identité du serveur lors de la connexion. Ceci joue un rôle crucial dans la prévention des attaques de type Man-in-the-Middle.

Aperçu

ssh-keyscan collecte les clés publiques SSH d'un ou plusieurs hôtes et les affiche sur la sortie standard. Ces clés sont utilisées pour renforcer la sécurité des connexions SSH en les ajoutant au fichier `known_hosts`.

Fonctionnalités principales

  • Collecte des clés publiques des hôtes SSH
  • Support de la mise à jour du fichier `known_hosts`
  • Prévention des attaques Man-in-the-Middle (MITM)
  • Scan de plusieurs hôtes ou de ports spécifiques

Options principales

Les options principales de la commande ssh-keyscan contrôlent la manière de collecter les clés, le format de sortie et la spécification des hôtes cibles.

Collecte et sortie des clés

Commande générée :

Essayez de combiner les commandes.

Description:

`ssh-keyscan` Exécute la commande.

Essayez d'exécuter virtuellement les commandes avec l'IA en combinant les options ci-dessus.

Exemples d'utilisation

Apprenez à collecter et gérer efficacement les clés d'hôtes SSH grâce à divers exemples d'utilisation de ssh-keyscan.

Scan de clé d'un hôte unique

ssh-keyscan example.com

Affiche toutes les clés publiques d'un hôte spécifié sur la sortie standard.

Ajouter la clé au fichier known_hosts

ssh-keyscan -H example.com >> ~/.ssh/known_hosts

Collecte la clé de l'hôte et l'ajoute au fichier `~/.ssh/known_hosts`. L'utilisation de l'option `-H` pour hacher le nom d'hôte est recommandée pour la sécurité.

Scan de clé d'un port spécifique

ssh-keyscan -p 2222 example.com

Scanne la clé d'un hôte qui fournit le service SSH sur un port différent du port SSH par défaut (22).

Lire la liste des hôtes depuis un fichier

ssh-keyscan -f hosts.txt

Lorsque les noms d'hôtes sont listés un par ligne dans le fichier `hosts.txt`, scanne les clés de tous les hôtes de ce fichier.

Scanner uniquement certains types de clés

ssh-keyscan -t rsa,ecdsa example.com

Collecte uniquement les types de clés RSA et ECDSA.

Conseils et précautions

Conseils utiles et points de sécurité à considérer lors de l'utilisation de ssh-keyscan.

Considérations de sécurité

  • Vérifiez toujours que les clés collectées proviennent d'une source fiable. En particulier pour les serveurs auxquels vous vous connectez pour la première fois, il est plus sûr de vérifier directement l'empreinte de la clé auprès de l'administrateur du serveur.
  • Le fichier `known_hosts` est une information sensible, il doit donc être protégé avec des permissions de fichier appropriées (généralement 600).
  • `ssh-keyscan` ne collecte que les clés publiques du serveur et ne tente pas de s'authentifier auprès du serveur. Par conséquent, vous pouvez collecter les clés même sans avoir les droits d'accès au serveur.

Utilisation dans les scripts d'automatisation

Lors du provisionnement de nouveaux serveurs ou de la gestion centralisée des fichiers `known_hosts` dans un environnement à grande échelle, vous pouvez inclure `ssh-keyscan` dans vos scripts d'automatisation. Cela permet de réduire la complexité de l'ajout manuel des clés et de maintenir une politique de sécurité cohérente.

Commandes de la même catégorie

aria2c

aria2c : Gestionnaire de téléchargements multi-protocoles

curl

curl -I : Vérifier les informations d'en-tête HTTP

curl

curl : Requêtes HTTP et transfert de fichiers (mode silencieux)

curl-verbose

curl-verbose : Affichage détaillé des informations de communication de curl

dig

dig : Requête d'informations DNS