如何管理我的 .ssh/known_hosts 文件

要找出 known_hosts 中的已知主机名对应的条目：

 # ssh-keygen -H  -F <hostname or IP address>

要从 known_hosts 中删除单个条目：

 # ssh-keygen -R <hostname or IP address>

有困难...

默认情况下，Ubuntu 对 known_hosts 文件的主机名进行哈希处理（这不是默认的 openssh 行为），以使读取文件的任何人都难以知道您访问的系统。

如果您真的想清理文件，最简单的选择可能只是删除它并检查您知道的服务器的密钥，但实际上我只是不理会 known_hosts 。

您可以通过注释掉 /etc/ssh/ssh_config 中的选项来阻止新主机条目被散列

#HashKnownHosts yes

如果您有所有主机的列表，则可以执行以下操作

ssh-keyscan -t rsa,dsa -f list_of_hosts > ~/.ssh/known_hosts

这将使用基于扫描主机的新生成的文件覆盖您的 .ssh/known_hosts 文件。

并且按照对方的建议去做；HashKnownHosts 比这里的帮助更烦人。

我的known_hosts文件中有 300 多个陈旧的条目。不确定它是否适用于所有系统（甚至大多数系统），但这是我的 Q&D 脚本。您可能需要调整匹配的字符串或位置。

#!/bin/sh

list=`cat ~/.ssh/known_hosts | awk '{print $1}' |sed -e 's/,/ /g' | sort -u `

listsorted=$(printf "%s\n" ${list[@]} | sort -u)
echo $listsorted
#listsorted="10.2.10.1"
echo > /tmp/sshstat.txt
for host in $listsorted ;
do
echo $host 
ssh -oBatchMode=yes -oConnectTimeout=2  root@${host} "exit" >/tmp/sshstat.txt 2>&1 
ret=$?
if [ $ret -ne 0 ]; then
     echo "Failed: $host"
     echo sed -i.bak \"/$host/d\" "~/.ssh/known_hosts" | sh
else
    grep "Offending RSA" /tmp/sshstat.txt |  sed -e 's/:/ /g' | awk '{printf "sed -i.bak -e \"%dd\" %s  \n", $6, "~/.ssh/known_hosts" }' | sh
   fi
done
#echo $list