Rechercher une page de manuel
ssh-keyscan
Langue: fr
Version: 93190 (fedora - 25/11/07)
Section: 1 (Commandes utilisateur)
BSD mandoc
NOM
ssh-keyscan - collecte des clefs publiques sshSYNOPSIS
ssh-keyscan I [-v46 ] [-p port ] [-T timeout ] [-t type ] [-f file ] [host | addrlist namelist ] [... ]DESCRIPTION
ssh-keyscan I est un utilitaire pour collecter des clefs publiques ssh depuis des machines. Il a été conçu pour faciliter la fabrication et la vérification des fichiers ssh_known_hosts ssh-keyscan I fournit une interface minimale appropriée pour une utilisation par scripts shell ou perl.ssh-keyscan I utilise des entrées/sorties (I/O) de socket non bloquantes pour contacter autant de machines que possible en parallèle, d'où son efficacité. Les clefs d'un parc d'un millier de machines peuvent être collecteés en quelques dizaines de secondes, même si certaines sont arrêtées ou n'exécutent pas ssh. Pour le balayage, on n'a pas besoin d'accès par login aux machines, et le parcours n'utilise pas de cryptage.
Les options sont les suivantes :
- -p port
- Port de l'hôte pour la connexion.
- -T timeout
- Spécifie une temporisation pour les tentatives de connexion. Si timeout secondes se sont écoulées depuis la dernière connexion, ou depuis la dernière réception depuis cette machine, alors la connexion est fermée, et la machine en question est considérée indisponible. Par défaut 5 secondes.
- -t type
- Specifie le type de clef à récupérer depuis les machines balayées. Les valeurs possibles sont « rsa1 » pour la version 1 du protocole et « rsa » ou « dsa » pour la version 2 du protocole. Des valeurs multiples, séparées par des virgules, sont possibles. Par défaut « rsa1 ».
- -f filename
- Lit les machines ou les paires addrlist namelist depuis ce fichier, une par ligne. Si - est spécifié à la place d'un nom de fichier, ssh-keyscan I lit les machines ou les paires addrlist namelist depuis l'entrée standard.
- -v
- Mode bavard. ssh-keyscan I affiche des messages de debogage sur son avancement.
- -4
- Force l'utilisation des adresses IPv4 uniquement par ssh-keyscan I
- -6
- Force l'utilisation des adresses IPv6 uniquement par ssh-keyscan I
SECURITÉ
Si le fichier ssh_known_hosts a été fabriqué par ssh-keyscan I sans vérification des clefs, les utilisateurs s'exposent à des attaques de type « man in the middle ». D'un autre côté, si le modèle de sécurité autorise un tel risque, ssh-keyscan I peut faciliter la détection de fichiers de clefs trafiqués, ou signaler qu'une attaque de type « man in the middle » a eu lieu après la création du fichier ssh_known_hosts.EXEMPLES
Affiche la clef rsa1 pour la machine hostname:
$ ssh-keyscan hostname
Trouve toutes les machines à partir du fichier ssh_hosts qui ont des clefs plus récentes, ou différentes de celles du fichier trié ssh_known_hosts:
$ ssh-keyscan -t rsa,dsa -f ssh_hosts | \ sort -u - ssh_known_hosts | diff ssh_known_hosts -
FICHIERS
Format d'entrée:1.2.3.4,1.2.4.4 name.my.domain,name,n.my.domain,n,1.2.3.4,1.2.4.4
Format de sortie pour des clefs rsa1:
host-or-namelist bits exponent modulus
Format de sortie pour des clefs rsa et dsa:
host-or-namelist keytype base64-encoded-key
Avec des clefs de type keytype , soit ``ssh-rsa'' , soit ``ssh-dsa''
/etc/ssh/ssh_known_hosts
BOGUES
On obtient des messages « Connection closed by remote host » à la console de toutes les machines balayées, si le serveur est plus ancien que la version 2.9, parce que le programme ouvre une connexion sur le port ssh, lit la clef publique, puis ferme la connexion dès qu'il a la clef.VOIR AUSSI
ssh(1), sshd(8)AUTEURS
David Mazieres <dm@lcs.mit.edu> a écrit la version initiale, et Wayne Davison <wayned@users.sourceforge.net> a ajouté le support de la version 2 du protocole.Contenus ©2006-2024 Benjamin Poulain
Design ©2006-2024 Maxime Vantorre