SSH-KEYSCAN(1) General Commands Manual SSH-KEYSCAN(1)
NOM
ssh-keyscan - Collecter des cles publiques SSH aupres des serveurs
SYNOPSIS
ssh-keyscan [-46cDHqv] [-f fichier] [-O option] [-p port] [-T delai]
[-t type] [hote | liste_adresses liste_noms]
DESCRIPTION
ssh-keyscan est un utilitaire permettant de collecter les cles d'hote SSH
publiques de plusieurs hotes. Il a ete concu pour faciliter la
constitution et la verification des fichiers ssh_known_hosts dont le
format est decrit dans sshd(8). ssh-keyscan fournit une interface
minimale utilisable dans des scripts Perl ou d'interpreteur de commande.
ssh-keyscan utilise des entrees/sorties de socket non bloquantes pour
contacter autant d'hotes que possible en parallele, donc il est tres
efficace. Les cles d'un domaine d'un millier d'hotes peuvent etre
collectees en quelques dizaines de secondes, meme si certains de ces
hotes sont arretes ou n'executent pas sshd(8). Pour la collecte, il
n'est pas necessaire de se connecter aux hotes analyses et le processus
n'implique aucun chiffrement.
Les hotes a analyser peuvent etre specifies par nom d'hote, adresse ou
plage d'adresses reseau au format CIDR (par exemple 192.168.16/28). Dans
ce dernier cas, toutes les adresses de la plage seront analysees.
Les options sont les suivantes :
-4 Forcer ssh-keyscan a n'utiliser que des adresses IPv4.
-6 Forcer ssh-keyscan a n'utiliser que des adresses IPv6.
-c Rechercher les certificats des hotes cible au lieu des cles
seules.
-D Afficher les cles trouvees sous le format des enregistrements DNS
SSHFP. Le comportement par defaut consiste a afficher les cles
sous un format utilisable en tant que fichier known_hosts de
ssh(1).
-f fichier
Lire les hotes ou les paires << liste_adresses liste_noms >>
depuis le fichier specifie, a raison d'un hote ou d'une paire par
ligne. Si << - >> est fourni a la place du nom de fichier,
ssh-keyscan lira ces informations depuis l'entree standard. Les
noms lus depuis un fichier doivent commencer par une adresse, un
nom d'hote ou une plage d'adresses reseau au format CIDR pour
etre analyses. Les adresses et noms d'hote peuvent etre suivis
d'alias de nom ou d'adresse separes par des virgules qui seront
recopies en sortie. Par exemple :
192.168.11.0/24
10.20.1.1
content.example.org
10.0.0.1,pas_content.example.org
-H Hacher tous les noms d'hote et adresses en sortie. Les noms
haches peuvent etre utilises normalement par ssh(1) et sshd(8),
mais ne revelent aucune information d'identification, dans
l'hypothese ou le contenu du fichier serait devoile.
-O option
Specifier une option sous la forme d'une paire cle/valeur. Une
seule option est actuellement prise en charge :
hashalg=algorithme
Selectionner un algorithme de hachage a utiliser pour
afficher les enregistrements SSHFP lorsqu'on a specifie
l'option -D. Les algorithmes valables sont << sha1 >> et
<< sha256 >>. Le comportement par defaut consiste a
afficher les deux.
-p port
Se connecter au port specifie sur l'hote distant.
-q Mode silencieux : ne pas afficher le nom d'hote du serveur et les
bandeaux dans les commentaires.
-T delai
Definir le delai pour les tentatives de connexion. Si delai
secondes se sont ecoulees depuis qu'une connexion a ete initiee
vers un hote ou depuis la derniere fois que quelque chose a ete
lu depuis cet hote, la connexion est fermee et l'hote en question
est considere comme indisponible. La valeur par defaut est
5 secondes.
-t type
Specifier le type de cle a collecter depuis les hotes analyses.
Les valeurs possibles sont << ecdsa >>, << ed25519 >>, << ecdsa-
sk >>, << ed25519-sk >> ou << rsa >>. Plusieurs valeurs peuvent
etre specifiees en les separant par des virgules. Le comportement
par defaut consiste a collecter tous les types de cle ci-dessus.
-v Mode prolixe : afficher des messages de debogage sur l'avancement
des operations.
Si un fichier ssh_known_hosts est construit en utilisant ssh-keyscan sans
verifier les cles, les utilisateurs seront vulnerables aux attaques de
type homme du milieu (man in the middle). D'un autre cote, si le modele
de securite tolere un tel risque, ssh-keyscan peut aider a la detection
des fichiers de cles falsifies ou d'attaques de type homme du milieu qui
auraient debute apres la creation du fichier ssh_known_hosts.
FICHIERS
/etc/ssh/ssh_known_hosts
EXEMPLES
Afficher la cle d'hote RSA pour la machine nom_hote :
$ ssh-keyscan -t rsa nom_hote
Analyser une plage d'adresses reseau en affichant tous les types de cle
pris en charge :
$ ssh-keyscan 192.168.0.64/25
Rechercher tous les hotes dans le fichier hotes_ssh qui possedent de
nouvelles cles ou des cles differentes de celles enregistrees dans le
fichier trie ssh_known_hosts :
$ ssh-keyscan -t rsa,ecdsa,ed25519 -f hotes_ssh | \
sort -u - ssh_known_hosts | diff ssh_known_hosts -
VOIR AUSSI
ssh(1), sshd(8) Using DNS to Securely Publish Secure Shell (SSH) Key
Fingerprints, RFC 4255, 2006.
AUTEURS
David Mazieres <dm@lcs.mit.edu> a ecrit la version initiale et Wayne
Davison <wayned@users.sourceforge.net> a ajoute la prise en charge de la
version 2 du protocole.
TRADUCTION
La traduction francaise de cette page de manuel a ete creee par Lucien
Gentis <lucien.gentis@waika9.com>
Cette traduction est une documentation libre ; veuillez vous reporter a
la GNU General Public License version 3:
https://www.gnu.org/licenses/gpl-3.0.html concernant les conditions de
copie et de distribution. Il n'y a aucune RESPONSABILITE LEGALE.
Si vous decouvrez un bogue dans la traduction de cette page de manuel,
veuillez envoyer un message a debian-l10n-french@lists.debian.org
Linux 6.13.7-arch1-1 $Mdocdate: 18 juin 2024 $ Linux 6.13.7-arch1-1