SSH-KEYSCAN(1) General Commands Manual SSH-KEYSCAN(1)

ssh-keyscancolectează cheile publice SSH de la servere

ssh-keyscan [-46cDHv] [-f fișier] [-O opțiune] [-p port] [-T timp-așteptare] [-t tip] [gazdă | listă-adrese listă-nume]

ssh-keyscan este un instrument pentru colectarea cheilor publice SSH ale unui anumit număr de gazde. A fost conceput pentru a ajuta la construirea și verificarea fișierelor ssh_known_hosts, al căror format este documentat în sshd(8). ssh-keyscan oferă o interfață minimă potrivită pentru a fi utilizată de scripturile shell și perl.

ssh-keyscan utilizează In/Ieș de soclu fără blocare pentru a contacta cât mai multe gazde posibil în paralel, astfel încât este foarte eficient. Cheile de la un domeniu de 1 000 de gazde pot fi colectate în câteva zeci de secunde, chiar și atunci când unele dintre aceste gazde sunt oprite sau nu rulează sshd(8). Pentru scanare, nu este nevoie de acces de conectare la mașinile care sunt scanate și nici procesul de scanare nu implică vreo criptare.

Gazdele care urmează să fie scanate pot fi specificate prin nume de gazdă, adresă sau prin interval de rețea CIDR (de exemplu, 192.168.16/28). Dacă se specifică un interval de rețea, toate adresele din intervalul respectiv vor fi scanate.

Opțiunile sunt următoarele:

Forțează ssh-keyscan să utilizeze numai adrese IPv4.
Forțează ssh-keyscan să utilizeze numai adrese IPv6.
Solicită certificate de la gazdele țintă în loc de chei simple.
Imprimă cheile găsite ca înregistrări DNS SSHFP. Valoarea implicită este de a imprima cheile într-un format utilizabil ca fișier ssh(1) known_hosts.
fișier
Citește perechi de gazde sau perechi “listă-adrese listă-nume” din fișierul file ..., una pe linie. Dacă se furnizează ‘-’ în loc de un nume de fișier, ssh-keyscan va citi de la intrarea standard. Numele citite dintr-un fișier trebuie să înceapă cu o adresă, un nume de gazdă sau un interval de rețea CIDR pentru a fi scanate. Adresele și numele de gazdă pot fi urmate, opțional, de nume sau alias de adresă separate prin virgulă, care vor fi copiate la ieșire. De exemplu:
192.168.11.0/24
10.20.1.1
happy.example.org
10.0.0.1,sad.example.org
Efectuează o calculare a sumei de control pentru toate numele de gazdă și adresele din rezultat. Numele transformate în sumă de control pot fi utilizate în mod normal de către ssh(1) și sshd(8), dar nu dezvăluie informații de identificare în cazul în care conținutul fișierului ar fi dezvăluit.
opțiune
Specifică o opțiune cheie/valoare. În prezent, este acceptată doar o singură opțiune:
=algoritm
Selectează un algoritm de sumă de control (hash) care să fie utilizat la imprimarea înregistrărilor SSHFP utilizând opțiunea -D. Algoritmii valabili sunt “sha1” și “sha256”. Valoarea implicită este de a le imprima pe ambele.
port
Se conectează la portul file ... al gazdei de la distanță.
timp-așteptare
Stabilește timpul de așteptare pentru încercările de conectare. Dacă au trecut timp-așteptare secunde de la inițierea unei conexiuni cu o gazdă sau de la ultima dată când s-a citit ceva de la acea gazdă, conexiunea este închisă, iar gazda în cauză este considerată indisponibilă. Valoarea implicită este de 5 secunde.
tip
Specifică tipul de cheie care trebuie să fie preluată de la gazdele scanate. Valorile posibile sunt “dsa”, “ecdsa”, “ed25519”, “ecdsa-sk”, “ed25519-sk” sau “rsa”. Se pot specifica mai multe valori, separându-le prin virgule. Valoarea implicită este de a prelua cheile “rsa”, “ecdsa”, “ed25519”, “ecdsa-sk” și “ed25519-sk”.
Modul descriptiv: afișează mesaje de depanare despre progres.

În cazul în care un fișier ssh_known_hosts este construit utilizând ssh-keyscan fără a verifica cheile, utilizatorii vor fi vulnerabili la atacurile (de interceptor). Pe de altă parte, în cazul în care modelul de securitate permite un astfel de risc, ssh-keyscan poate ajuta la detectarea fișierelor de chei falsificate sau a atacurilor de tip „atac de interceptor” care au început după ce fișierul ssh_known_hosts a fost creat.

/etc/ssh/ssh_known_hosts

Afișează cheia de gazdă RSA pentru mașina nume-gazdă:

$ ssh-keyscan -t rsa nume-gazdă

Caută un interval de rețea, afișând toate tipurile de chei acceptate:

$ ssh-keyscan 192.168.0.64/25

Găsește toate gazdele din fișierul ssh_hosts care au chei noi sau diferite de cele din fișierul sortat ssh_known_hosts:

$ ssh-keyscan -t rsa,dsa,ecdsa,ed25519 -f ssh_hosts | \
	sort -u - ssh_known_hosts | diff ssh_known_hosts -

ssh(1), sshd(8) Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints, RFC 4255, 2006.

David Mazieres <dm@lcs.mit.edu> a scris versiunea inițială, iar Wayne Davison <wayned@users.sourceforge.net> a adăugat suport pentru versiunea 2 a protocolului.

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net

$Mdocdate: 10 februarie 2023 $ Linux 6.9.7-arch1-1