.\" -*- coding: UTF-8 -*- .\" $OpenBSD: ssh-keyscan.1,v 1.52 2024/06/17 08:30:29 djm Exp $ .\" .\" Copyright 1995, 1996 by David Mazieres . .\" .\" Modification and redistribution in source and binary forms is .\" permitted provided that due credit is given to the author and the .\" OpenBSD project by leaving this copyright notice intact. .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .Dd $Mdocdate: 18 juin 2024 $ .Dt SSH-KEYSCAN 1 .Os .Sh NOM .Nm ssh-keyscan .Nd Collecter des clés publiques SSH auprès des serveurs .Sh SYNOPSIS .Nm ssh-keyscan .Op Fl 46cDHqv .Op Fl f Ar fichier .Op Fl O Ar option .Op Fl p Ar port .Op Fl T Ar délai .Op Fl t Ar type .Op Ar hôte | liste_adresses liste_noms .Sh DESCRIPTION .Nm ssh-keyscan est un utilitaire permettant de collecter les clés d'hôte SSH publiques de plusieurs hôtes. Il a été conçu pour faciliter la constitution et la vérification des fichiers .Pa ssh_known_hosts dont le format est décrit dans .Xr sshd 8 . .Nm ssh-keyscan fournit une interface minimale utilisable dans des scripts Perl ou d'interpréteur de commande. .Pp .Nm ssh-keyscan utilise des entrées/sorties de socket non bloquantes pour contacter autant d'hôtes que possible en parallèle, donc il est très efficace. Les clés d'un domaine d'un millier d'hôtes peuvent être collectées en quelques dizaines de secondes, même si certains de ces hôtes sont arrêtés ou n'exécutent pas .Xr sshd 8 . Pour la collecte, il n'est pas nécessaire de se connecter aux hôtes analysés et le processus n'implique aucun chiffrement. .Pp Les hôtes à analyser peuvent être spécifiés par nom d'hôte, adresse ou plage d'adresses réseau au format CIDR (par exemple 192.168.16/28). Dans ce dernier cas, toutes les adresses de la plage seront analysées. .Pp Les options sont les suivantes : .Bl -tag -width Ds .It Fl 4 Forcer .Nm ssh-keyscan à n'utiliser que des adresses IPv4. .It Fl 6 Forcer .Nm ssh-keyscan à n'utiliser que des adresses IPv6. .It Fl c Rechercher les certificats des hôtes cible au lieu des clés seules. .It Fl D Afficher les clés trouvées sous le format des enregistrements DNS SSHFP. Le comportement par défaut consiste à afficher les clés sous un format utilisable en tant que fichier .Pa known_hosts de .Xr ssh 1 . .It Fl f Ar fichier Lire les hôtes ou les paires « liste_adresses liste_noms » depuis le fichier spécifié, à raison d'un hôte ou d'une paire par ligne. Si « - » est fourni à la place du nom de fichier, .Nm ssh-keyscan lira ces informations depuis l'entrée standard. Les noms lus depuis un fichier doivent commencer par une adresse, un nom d'hôte ou une plage d'adresses réseau au format CIDR pour être analysés. Les adresses et noms d'hôte peuvent être suivis d'alias de nom ou d'adresse séparés par des virgules qui seront recopiés en sortie. Par exemple : .Bd -literal 192.168.11.0/24 10.20.1.1 content.example.org 10.0.0.1,pas_content.example.org .Ed .It Fl H Hacher tous les noms d'hôte et adresses en sortie. Les noms hachés peuvent être utilisés normalement par .Xr ssh 1 et .Xr sshd 8 , mais ne révèlent aucune information d'identification, dans l'hypothèse où le contenu du fichier serait dévoilé. .It Fl O Ar option Spécifier une option sous la forme d'une paire clé/valeur. Une seule option est actuellement prise en charge : .Bl -tag -width Ds .It Cm hashalg Ns = Ns Ar algorithme Sélectionner un algorithme de hachage à utiliser pour afficher les enregistrements SSHFP lorsqu'on a spécifié l'option .Fl D . Les algorithmes valables sont « sha1 » et « sha256 ». Le comportement par défaut consiste à afficher les deux. .El .It Fl p Ar port Se connecter au .Ar port spécifié sur l'hôte distant. .It Fl q Mode silencieux : ne pas afficher le nom d'hôte du serveur et les bandeaux dans les commentaires. .It Fl T Ar délai Définir le délai pour les tentatives de connexion. Si .Ar délai secondes se sont écoulées depuis qu'une connexion a été initiée vers un hôte ou depuis la dernière fois que quelque chose a été lu depuis cet hôte, la connexion est fermée et l'hôte en question est considéré comme indisponible. La valeur par défaut est 5 secondes. .It Fl t Ar type Spécifier le type de clé à collecter depuis les hôtes analysés. Les valeurs possibles sont « ecdsa », « ed25519 », « ecdsa-sk », « ed25519-sk » ou « rsa ». Plusieurs valeurs peuvent être spécifiées en les séparant par des virgules. Le comportement par défaut consiste à collecter tous les types de clé ci-dessus. .It Fl v Mode prolixe : afficher des messages de débogage sur l'avancement des opérations. .El .Pp Si un fichier ssh_known_hosts est construit en utilisant .Nm ssh-keyscan sans vérifier les clés, les utilisateurs seront vulnérables aux attaques de type .Em homme du milieu (man in the middle). D'un autre côté, si le modèle de sécurité tolère un tel risque, .Nm ssh-keyscan peut aider à la détection des fichiers de clés falsifiés ou d'attaques de type homme du milieu qui auraient débuté après la création du fichier ssh_known_hosts. .Sh FICHIERS .Pa /etc/ssh/ssh_known_hosts .Sh EXEMPLES Afficher la clé d'hôte RSA pour la machine .Ar nom_hôte  : .Pp .Dl $ ssh-keyscan -t rsa nom_hôte .Pp Analyser une plage d'adresses réseau en affichant tous les types de clé pris en charge : .Pp .Dl $ ssh-keyscan 192.168.0.64/25 .Pp Rechercher tous les hôtes dans le fichier .Pa hôtes_ssh qui possèdent de nouvelles clés ou des clés différentes de celles enregistrées dans le fichier trié .Pa ssh_known_hosts  : .Bd -literal -offset indent $ ssh-keyscan -t rsa,ecdsa,ed25519 -f hôtes_ssh | \e sort -u - ssh_known_hosts | diff ssh_known_hosts - .Ed .Sh VOIR AUSSI .Xr ssh 1 , .Xr sshd 8 .Rs .%D 2006 .%R RFC 4255 .%T Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints .Re .Sh AUTEURS .An -nosplit .An David Mazieres Aq Mt dm@lcs.mit.edu a écrit la version initiale et .An Wayne Davison Aq Mt wayned@users.sourceforge.net a ajouté la prise en charge de la version 2 du protocole. .Pp .Sh TRADUCTION La traduction française de cette page de manuel a été créée par Lucien Gentis . .Pp Cette traduction est une documentation libre ; veuillez vous reporter à la .Lk https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE. .Pp Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à .Mt debian-l10n-french@lists.debian.org .Me .