主页 / server / 问题 / 853504
Accepted
Sammitch
Asked: 2017-06-02 12:38:23 +0800 CST

SSH 主机密钥更改的显式测试

  • 772

我正在编写一些自动化程序,但遇到了一个问题,即主机的密钥已更改并且扳手被投入工作。我想为这个特定条件添加一个飞行前检查,但我似乎无法ssh返回比它的全部 255 返回代码更多的东西。

例如:

$ ssh -o StrictHostKeyChecking=yes foobar@squiffy-host ls; echo $?
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
...snip...
255

我怎样才能检测到这一具体案例?

linux

2 个回答

  1. 在你的 shell snippit 上构建一点,你可以试试这个:

    $ ssh -o StrictHostKeyChecking=yes foobar@squiffy-host ls 2>&1 |grep "WARNING: POSSIBLE DNS SPOOFING DETECTED" >/dev/null; echo $?
0

    如果 grep 调用找到错误消息,它应该输出 0,如果没有,它应该输出 1。

    • 0
  2. Best Answer

    在这一点上,我对有一个完美的答案并不十分乐观,所以我接受了你的建议来解析错误文本。

    ## Return codes:
#   0: No problem
#   1: Host key problem
#   2: Unhandled error
function testhostkey() {
    user=$1
    hostname=$2
    res=$( ( ssh -o StrictHostKeyChecking=yes ${user}@${hostname} exit 1>/dev/null ) 2>&1 )
    code=$?

    if [ $code -eq 0 ]; then
        return 0
    elif [ $code -eq 255 ]; then
        while read line; do
            case "$line" in
                'WARNING: POSSIBLE DNS SPOOFING DETECTED!')
                    continue
                    ;;
                'WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!')
                    continue
                    ;;
                *)
                    echo "Unhandled SSH error message: $line" >&2
                    echo "$res" >&2
                    return 2
                    ;;
            esac
        done < <(echo "$res" | grep '^@\s\+' | sed 's/@\s\+\(.*\)\s\+@/\1/' | sed -e 's/^\s\+//' -e 's/\s\+$//')
        return 1
    else
        printf "Unhandled return code from SSH: %d\n%s\n" $code "$res" >&2
        return 2
    fi
}

    基本上,如果返回码是 255并且所有错误消息都在指定的集合内,那么返回码是 1。

    所有其他错误消息/代码返回 2,没有错误返回 0。

    • 0

相关问题