主页 / server / 问题 / 1091427
Accepted
Andrew Savinykh
Asked: 2022-01-28 16:10:24 +0800 CST

如何编写脚本检查 known_hosts 文件中的密钥是否正确

  • 772

我想在脚本中实现一个函数,该函数检查与 known_hosts 文件中给定主机对应的密钥是否正确。显而易见的方法是尝试 ssh 连接并解析它是否会导致 known_hosts 警告。由于以下原因,这是次优的:

  • 如果主机不在know_hosts 文件中,则需要单独检查
  • 它依赖于可能会更改的警告的特定措辞
  • 它在您不需要运行的目标服务器上为您运行一个 ssh 命令,并且可能由于不同的原因(例如指定的登录 shell)而失败
  • 需要有效的凭据

我试图找到可能用于该检查的选项ssh-keyscanssh-keygen命令,但没有找到它们。

进行此检查的最简单方法是什么?

scripting ssh

3 个回答

  1. Best Answer
    #!/usr/bin/env bash

HOST=$1

set -o pipefail

HOST_KEY_LINE=$(ssh-keygen -F "$HOST" | tail -n1)

if [ $? -ne 0 ]; then
  echo "$HOST is not in the known_hosts file"
  exit 1
fi

KEY_TYPE=$(echo "$HOST_KEY_LINE" | awk '{ print $2 }')
HOST_KEY=$(echo "$HOST_KEY_LINE" | awk '{ print $3 }')

ACTUAL_KEY=$(ssh-keyscan -t "$KEY_TYPE" "$HOST" 2>&1 | tail -n1 | awk '{ print $3 }')

if [ $? -ne 0 ]; then
  echo "Could not get key from $HOST: $ACTUAL_KEY"
  exit 1
fi

if [ "$HOST_KEY" = "$ACTUAL_KEY" ]; then
  echo "known_hosts has a correct key"
  exit 0
fi

echo "known_hosts has an incorrect key"
    • 1

  2. 如果您有所有可用主机的列表,则可以使用以下内容:

    ssh-keyscan -t rsa,dsa -f hosts_list > ~/.ssh/known_hosts_revised

    这将生成一个新的known_hosts_revised,您可以使用它与 current 进行差异know_hosts以查看差异。

    hosts_list内容应该是这样的:

    1.2.3.4,1.2.4.4 name.my.domain,name,n.my.domain,n,1.2.3.4,1.2.4.4
    • 0

  3. 我在 Windows 10 下,我可以通过发出以下命令来获取保存的 SSH 密钥:

    ssh-keygen -F sdf.org

    获得以下输出

    # Host sdf.org found: line 1
sdf.org,205.166.94.16 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIJJk3a190w/1TZkzVKORvz/kwyKmFY144lVeDFm80p17

    使用以下命令,我可以获得当前的SSH 密钥:

    ssh-keyscan -t ed25519 sdf.org

    获得输出

    # sdf.org:22 SSH-2.0-OpenSSH_8.8
sdf.org ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIJJk3a190w/1TZkzVKORvz/kwyKmFY144lVeDFm80p17

    我可以直观地比较这两个值,以确保 SSH 密钥是正确的。我敢打赌它也可以在批处理文件中完成(但我不知道如何)

    • -1

相关问题