Startpagina > Netwerkbeheer > ssh-keyscan

ssh-keyscan: SSH-hostkeys verzamelen

Een hulpprogramma voor het verzamelen van de openbare hostkeys van SSH-servers. De verzamelde sleutels worden toegevoegd aan het bestand `~/.ssh/known_hosts`, zodat SSH-clients de identiteit van de server kunnen verifiëren bij het maken van een verbinding. Dit speelt een cruciale rol bij het voorkomen van Man-in-the-Middle-aanvallen.

Overzicht

ssh-keyscan verzamelt SSH-publieke sleutels van een of meer hosts en exporteert deze naar de standaarduitvoer. Deze sleutels worden gebruikt om het bestand `known_hosts` bij te werken, wat de beveiliging van SSH-verbindingen verbetert.

Belangrijkste functies

  • Verzamelen van SSH-host publieke sleutels
  • Ondersteuning voor het bijwerken van het `known_hosts`-bestand
  • Voorkomen van Man-in-the-Middle (MITM)-aanvallen
  • Scannen van meerdere hosts of specifieke poorten

Belangrijkste opties

De belangrijkste opties van het ssh-keyscan-commando regelen hoe sleutels worden verzameld, het uitvoerformaat en hoe doelhosts worden gespecificeerd.

Sleutelverzameling en uitvoer

Gegenereerde opdracht:

Probeer de opdrachtcombinaties.

Uitleg:

`ssh-keyscan` Voer het commando uit.

Combineer deze opties en voer de opdracht virtueel uit met de AI.

Gebruiksvoorbeelden

Leer hoe u SSH-hostkeys effectief kunt verzamelen en beheren met verschillende gebruiksvoorbeelden van ssh-keyscan.

Sleutel scannen van een enkele host

ssh-keyscan example.com

Toont alle publieke sleutels van de opgegeven host naar de standaarduitvoer.

Sleutels toevoegen aan het known_hosts-bestand

ssh-keyscan -H example.com >> ~/.ssh/known_hosts

Verzamelt de sleutels van de host en voegt deze toe aan het bestand `~/.ssh/known_hosts`. Het is aanbevolen om de hostnaam te hashen met de optie `-H` voor betere beveiliging.

Sleutel scannen van een specifieke poort

ssh-keyscan -p 2222 example.com

Scant de sleutels van een host die de SSH-service op een andere poort dan de standaard SSH-poort (22) aanbiedt.

Hostlijst lezen uit een bestand

ssh-keyscan -f hosts.txt

Wanneer hostnamen één per regel worden vermeld in het bestand `hosts.txt`, worden de sleutels van alle hosts in dat bestand gescand.

Alleen specifieke sleuteltypen scannen

ssh-keyscan -t rsa,ecdsa example.com

Verzamelt alleen RSA- en ECDSA-sleuteltypen.

Tips & Aandachtspunten

Nuttige tips en beveiligingsoverwegingen bij het gebruik van ssh-keyscan.

Beveiligingsoverwegingen

  • Verifieer altijd of de verzamelde sleutels afkomstig zijn van een betrouwbare bron. Vooral bij servers waarmee u voor het eerst verbinding maakt, is het het veiligst om de vingerafdruk van de sleutel rechtstreeks van de serverbeheerder te verkrijgen.
  • Het `known_hosts`-bestand is gevoelige informatie, dus bescherm het met de juiste bestandspermissies (meestal 600).
  • `ssh-keyscan` verzamelt alleen de publieke sleutel van de server en probeert geen authenticatie bij de server. Daarom kunt u sleutels verzamelen, zelfs als u geen toegangsmachtiging tot de server heeft.

Gebruik in automatiseringsscripts

Bij het provisioneren van nieuwe servers of het centraal beheren van `known_hosts`-bestanden in grootschalige omgevingen, kunt u `ssh-keyscan` opnemen in automatiseringsscripts. Dit vermindert het gedoe van het handmatig toevoegen van sleutels en zorgt voor een consistent beveiligingsbeleid.

Hétzelfde categoriecommando

aria2c

aria2c: Multi-protocol Download Manager

curl

curl: HTTP-verzoeken en bestandsoverdracht (stille modus)

curl

curl -I: HTTP-headers controleren

curl-verbose

curl-verbose: Gedetailleerde communicatie-informatie van curl weergeven

dig

dig: DNS-informatie opvragen