SSH-KEYSCAN(1) FreeBSD 一般コマンドマニュアル SSH-KEYSCAN(1)
名称
|
ssh-keyscan − ssh 公開鍵を収集する |
書式
|
ssh-keyscan [−v46] [−p ポート番号] [−T タイムアウト秒数] [−t 鍵の種類] [−f ファイル名] [ホスト名 | アドレスリスト ホスト名リスト] [...] |
|
解説 |
|
ssh-keyscan は複数のホストから ssh 用のホスト公開鍵を収集するためのユー ティリティです。これは ssh_known_hosts ファイルを構築し、検証するのに役立 つよう作られています。 ssh-keyscan はシェルスクリプトあるいは perl スクリ プトから使うのに適した、最小限のインタフェースを備えています。 ssh-keyscan はノンブロッキングソケット I/O を使い、なるべく多くのホストに 並列にアクセスします。そのためこれは非常に効率的です。 1000 台ほどのホス トからなるドメインの鍵も数十秒で集めてしまいます。たとえいくつかのホスト で ssh が走っていなかったり、ホストがダウンしていたりしても、です。スキャ ンのために当該マシンにログインする必要はありません。また、スキャンすると きに暗号を用いる必要もありません。 オプションは以下のとおりです : |
−p ポート番号
|
接続するリモートホスト上のポートを指定します。 −T −t 鍵の種類 −f ファイル名 −v −4 −6 セキュリティ |
|
ssh-keyscan をつかって、鍵を検証せずに ssh_known_hosts ファイルを構築した 場合、 (なりすまし) 攻撃に対して無防備になります。いっぽう、お使いのセ キュリティモデルがそのような危険をはらんでいる場合、一度こちらの ssh_known_hosts を作ってしまえば、 ssh-keyscan はそれ以後の、改竄された鍵 ファイルや man in the middle 攻撃を検知するのに使えます。 |
関連ファイル
|
入力形式: 1.2.3.4,1.2.4.4 name.my.domain,name,n.my.domain,n,1.2.3.4,1.2.4.4 rsa1 鍵の出力形式: ホストあるいはホスト名のリスト ビット数 べき指数 係数 rsa および dsa 鍵の出力形式: ホストあるいはホスト名のリスト 鍵の種類 base64エンコードされた鍵 keytype の値は ‘‘ssh-rsa’’ あるいは ‘‘ssh-dss’’ のどちらかです。 /etc/ssh/ssh_known_hosts |
使用例
|
hostname で指定されるマシンの rsa1 ホスト鍵を表示する : $ ssh-keyscan hostname ファイル ssh_hosts にあるホストのうち、新しいホスト、あるいはソートされた ssh_known_hosts ファイルにあるものと鍵が違っているホストを見つける : $ ssh-keyscan -t rsa,dsa -f ssh_hosts | \ |
|
sort -u - ssh_known_hosts | diff ssh_known_hosts - |
関連項目
作者
|
David Mazieres ⟨dm@lcs.mit.edu⟩
が最初のバージョンを書き、 |
バグ
|
サーバ側のバージョンが 2.9 より古いと、このプログラムはスキャンしたすべて のマシンのコンソール上に "Connection closed by remote host" のメッセージ を残します。これは、このプログラムが ssh 用のポートに接続したあと、公開鍵 を読みこんですぐに接続を切ってしまうためです。 |
日本語訳
|
新山 祐介 (yusuke at cs . nyu . edu) 2003/4/17 (for 3.6.1p1) 当マニュアルページは氏のご好意により FreeBSD 向けに修正を加えて FreeBSD 日本語マニュアルに収録させていただいています。翻訳についてのご意見、ご指 摘がありましたら FreeBSD jpman プロジェクト ⟨man-jp@jp.FreeBSD.org⟩ また は新山氏 (yusuke at cs . nyu . edu) までお送りください。 FreeBSD 10.0 January 1, 1996 FreeBSD 10.0 |