SSH-KEYSCAN

Section: User Commands (1)
Index Retour au Menu Principal

BSD mandoc

 

NOM

ssh-keyscan - collecte des clefs publiques ssh  

SYNOPSIS

ssh-keyscan I [-v46 ] [-p port ] [-T timeout ] [-t type ] [-f file ] [host | addrlist namelist ] [... ]  

DESCRIPTION

ssh-keyscan I est un utilitaire pour collecter des clefs publiques ssh depuis des machines. Il a été conçu pour faciliter la fabrication et la vérification des fichiers ssh_known_hosts ssh-keyscan I fournit une interface minimale appropriée pour une utilisation par scripts shell ou perl.

ssh-keyscan I utilise des entrées/sorties (I/O) de socket non bloquantes pour contacter autant de machines que possible en parallèle, d'où son efficacité. Les clefs d'un parc d'un millier de machines peuvent être collecteés en quelques dizaines de secondes, même si certaines sont arrêtées ou n'exécutent pas ssh. Pour le balayage, on n'a pas besoin d'accès par login aux machines, et le parcours n'utilise pas de cryptage.

Les options sont les suivantes :

-p port
Port de l'hôte pour la connexion.
-T timeout
Spécifie une temporisation pour les tentatives de connexion. Si timeout secondes se sont écoulées depuis la dernière connexion, ou depuis la dernière réception depuis cette machine, alors la connexion est fermée, et la machine en question est considérée indisponible. Par défaut 5 secondes.
-t type
Specifie le type de clef à récupérer depuis les machines balayées. Les valeurs possibles sont « rsa1 » pour la version 1 du protocole et « rsa » ou « dsa » pour la version 2 du protocole. Des valeurs multiples, séparées par des virgules, sont possibles. Par défaut « rsa1 ».
-f filename
Lit les machines ou les paires addrlist namelist depuis ce fichier, une par ligne. Si - est spécifié à la place d'un nom de fichier, ssh-keyscan I lit les machines ou les paires addrlist namelist depuis l'entrée standard.
-v
Mode bavard. ssh-keyscan I affiche des messages de debogage sur son avancement.
-4
Force l'utilisation des adresses IPv4 uniquement par ssh-keyscan I
-6
Force l'utilisation des adresses IPv6 uniquement par ssh-keyscan I

 

SECURITÉ

Si le fichier ssh_known_hosts a été fabriqué par ssh-keyscan I sans vérification des clefs, les utilisateurs s'exposent à des attaques de type « man in the middle ». D'un autre côté, si le modèle de sécurité autorise un tel risque, ssh-keyscan I peut faciliter la détection de fichiers de clefs trafiqués, ou signaler qu'une attaque de type « man in the middle » a eu lieu après la création du fichier ssh_known_hosts.  

EXEMPLES

Affiche la clef rsa1 pour la machine hostname:

$ ssh-keyscan hostname

Trouve toutes les machines à partir du fichier ssh_hosts qui ont des clefs plus récentes, ou différentes de celles du fichier trié ssh_known_hosts:

$ ssh-keyscan -t rsa,dsa -f ssh_hosts | \ 
        sort -u - ssh_known_hosts | diff ssh_known_hosts -
 

FICHIERS

Format d'entrée:
1.2.3.4,1.2.4.4 name.my.domain,name,n.my.domain,n,1.2.3.4,1.2.4.4

Format de sortie pour des clefs rsa1:

host-or-namelist bits exponent modulus

Format de sortie pour des clefs rsa et dsa:

host-or-namelist keytype base64-encoded-key

Avec des clefs de type keytype , soit ``ssh-rsa'' , soit ``ssh-dsa''

/etc/ssh/ssh_known_hosts  

BOGUES

On obtient des messages « Connection closed by remote host » à la console de toutes les machines balayées, si le serveur est plus ancien que la version 2.9, parce que le programme ouvre une connexion sur le port ssh, lit la clef publique, puis ferme la connexion dès qu'il a la clef.  

VOIR AUSSI

ssh(1), sshd(8)  

AUTEURS

David Mazieres <dm@lcs.mit.edu> a écrit la version initiale, et Wayne Davison <wayned@users.sourceforge.net> a ajouté le support de la version 2 du protocole.



 

Index

NOM
SYNOPSIS
DESCRIPTION
SECURITÉ
EXEMPLES
FICHIERS
BOGUES
VOIR AUSSI
AUTEURS


Time: 19:02:15 GMT, December 19, 2004