SSH-KEYSCAN(1) General Commands Manual SSH-KEYSCAN(1) BEZEICHNUNG ssh-keyscan - Einsammeln der offentlichen SSH-Schlussel von Servern UBERSICHT ssh-keyscan [-46cDHqv] [-f Datei] [-O Option] [-p Port] [-T Zeituberschreitung] [-t Typ] [Rechner | Adressliste Namensliste] BESCHREIBUNG ssh-keyscan ist ein Hilfswerkzeug fur das Einsammeln offentlicher SSH- Rechnerschlussel von einer Reihe von Rechnern. Es wurde zur Hilfe beim Aufbauen und Uberprufen von ssh_known_hosts -Dateien entwickelt, deren Format in sshd(8) dokumentiert ist. ssh-keyscan stellt eine minimale Schnittstelle bereit, die zum Einsatz in Shell- oder Perl-Skripten geeignet ist. ssh-keyscan verwendet nicht blockierendes Socket-E/A, um so viele Rechner wie moglich parallel zu kontaktieren. Es ist daher sehr effizient. Die Schlussel einer Domain von 1.000 Rechnern konnen innerhalb von einigen zehn Sekunden eingesammelt werden, selbst wenn einige dieser Rechner ausgeschaltet sind oder sshd(8) nicht ausfuhren. Zum Scannen wird kein Anmeldezugriff auf die gescannten Maschinen benotigt. Auch benotigt der Scanning-Prozess keinerlei Verschlusselung. Die Rechner, nach denen gesucht wird, konnen durch den Rechnernamen, die Adresse oder den CIDR-Netzwerkbereich angegeben werden (z.B. 192.168.16/28). Falls ein Netzwerkbereich angegeben ist, dann werden alle Adressen in diesem Bereich durchsucht. Folgende Optionen stehen zur Verfugung: -4 Erzwingt, dass ssh-keyscan nur IPv4-Adressen verwendet. -6 Erzwingt, dass ssh-keyscan nur IPv6-Adressen verwendet. -c Erbittet Zertifikate statt einfacher Schlussel vom Ziel-Rechner. -D Gibt gefundene Schlussel als SSHFP-DNS-Datensatze aus. Die Vorgabe ist die Ausgabe der Schlussel in einem Format, das fur die Datei known_hosts von ssh(1) geeignet ist. -f Datei Liest Rechner oder "Adressliste-Namensliste" -Paare aus der Datei, eine pro Zeile. Falls >>-<< anstatt eines Dateinamens bereitgestellt ist, dann wird ssh-keyscan aus der Standardeingabe lesen. Aus einer Datei gelesene Namen mussen mit einer zu suchenden Adresse, einem Rechnernamen oder einem zu durchsuchenden CIDR-Netzwerkbereich beginnen. Auf Adressen und Rechnernamen darf optional ein Komma-getrennter Name oder Adressalias folgen, der in die Ausgabe kopiert wird. Beispiel: 192.168.11.0/24 10.20.1.1 happy.example.org 10.0.0.1,sad.example.org -H Hasht alle Rechnernamen und Adressen in der Ausgabe. Gehashte Namen konnen ganz normal von ssh(1) und sshd(8) verwandt werden, sie geben aber keine Informationen preis, falls der Inhalt der Datei offengelegt werden sollte. -O Option Gibt eine Schlussel/Wert-Option an. Derzeit wird nur eine einzige Option unterstutzt: hashalg=Algorithmus Wahlt einen beim Ausgeben von SSHFP-Datensatzen mittels des Schalters -D zu verwendenden Hash-Algorithmus aus. Gultige Algorithmen sind >>sha1<< und >>sha256<<. Standardmassig werden beide ausgegeben. -p Port Verbindet sich zu Port auf der fernen Maschine. -q Stiller Modus: Keine Ausgabe von Serverrechnernamen und Bannern in Kommentaren. -T Zeituberschreitung Setzt die Zeituberschreitung (in Sekunden) fur Verbindungsversuche. Falls der Verbindungsaufbau mehr als diese Zeitspanne in Anspruch nimmt oder seit dieser Zeitspanne nichts mehr von dem Rechner empfangen wurde, wird die Verbindung geschlossen und der Rechner als nicht verfugbar betrachtet. Der Standardwert ist 5 Sekunden. -t Typ Gibt den Typ des vom gescannten Rechner abzuholenden Schlussels an. Die moglichen Werte sind "ecdsa", "ed25519", "ecdsa-sk", "ed25519-sk" und "rsa". Es konnen mehrere Werte angegeben werden, indem diese durch Kommata abgetrennt werden. Die Vorgabe ist das Abholen von allen der obigen Schlusseln. -v Ausfuhrlicher Modus: Ausgabe von Fehlersuchnachrichten uber den Fortschritt. Falls mittels ssh-keyscan eine Datei >>ssh_known_hosts<< erstellt wird, ohne die Schlussel zu uberprufen, sind die Benutzer durch Man-In-The-Middle -Angriffe verwundbar. Wenn das Sicherheitsmodell andererseits ein solches Risiko erlaubt, kann ssh-keyscan nach dem Anlegen der Datei >>ssh_known_hosts<< bei der Erkennung manipulierter Schlusseldateien oder seit Erstellung der Datei neu begonnenen Man-In- The-Middle-Angriffen helfen. DATEIEN /etc/ssh/ssh_known_hosts BEISPIELE Gibt den RSA-Rechnerschlussel fur Maschine Rechnername aus: $ ssh-keyscan -t rsa Rechnername Einen Netzwerkbereich durchsuchen und alle unterstutzten Schlusseltypen ausgeben: $ ssh-keyscan 192.168.0.64/25 Findet alle Rechner aus der Datei ssh_hosts, die uber neuere oder geanderte Schlussel gegenuber denen in der sortierten Datei ssh_known_hosts verfugen: $ ssh-keyscan -t rsa,ecdsa,ed25519 -f ssh_hosts | \ sort -u - ssh_known_hosts | diff ssh_known_hosts - SIEHE AUCH ssh(1), sshd(8) Der Einsatz von DNS, um Schlusselfingerabdrucke der Sicheren Shell (SSH) sicher zu veroffentlichen, RFC 4255, 2006. AUTOREN David Mazieres schrieb die ursprungliche Version und Wayne Davison fugte die Unterstutzung fur Protokollversion 2 hinzu. UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3: https://www.gnu.org/licenses/gpl-3.0.html oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer: debian-l10n-german@lists.debian.org Linux 6.12.8-arch1-1 $Mdocdate: 17. Juni 2024 $ Linux 6.12.8-arch1-1