如果指纹已知，如何以编程方式接受 SSH 主机密钥？

Question 1

您可以使用

ssh -o StrictHostKeyChecking=ask \
    -o HashKnownHosts=no \
    -o CheckHostIP=no \
    -o UserKnownHostsFile=example_fp \
    -p 1234 [email protected]

获取密钥。

HashKnownHosts=no确保主机名将以明文形式保存
CheckHostIP=no仅用于通过名称来识别主机

结果example_fp将是一行，开头如下

[example.com]:1234 ecdsa-sha2-nistp521 AAAA...

当在第一个连接上使用标准端口 22 时，您会看到

example.com ecdsa-sha2-nistp521 AAAA...

因此，要么在第一次连接时使用端口 22，要么随后编辑文件以删除端口号。下次连接时，该行将匹配任何端口号。

Answer

您可以使用

ssh -o StrictHostKeyChecking=ask \
    -o HashKnownHosts=no \
    -o CheckHostIP=no \
    -o UserKnownHostsFile=example_fp \
    -p 1234 [email protected]

获取密钥。

HashKnownHosts=no确保主机名将以明文形式保存
CheckHostIP=no仅用于通过名称来识别主机

结果example_fp将是一行，开头如下

[example.com]:1234 ecdsa-sha2-nistp521 AAAA...

当在第一个连接上使用标准端口 22 时，您会看到

example.com ecdsa-sha2-nistp521 AAAA...

因此，要么在第一次连接时使用端口 22，要么随后编辑文件以删除端口号。下次连接时，该行将匹配任何端口号。

Question 2

没有这样神奇的选择可以做到这一点。您可以提前手动存储公钥（如果已知），或者使用一些期望脚本，如果指纹“正确”，该脚本将为您写“是”。

Answer

没有这样神奇的选择可以做到这一点。您可以提前手动存储公钥（如果已知），或者使用一些期望脚本，如果指纹“正确”，该脚本将为您写“是”。

Question 3

一种解决方法可能是使用ssh-keyscan作为附加步骤来获取 ssh 指纹，然后用通配符替换主机字段，*然后再将其保存到文件中。例如：

$ ssh-keyscan -p 1234 example.com | $ ssh-keyscan -p 1234 example.com perl -pe 's/.*? /* /' > example_fp

然后，每当您需要连接到该服务器时，您都可以引用example_fp（无论端口/dns/ip）：

$ ssh -o UserKnownHostsFile=example_fp -p 4321[电子邮件受保护]

Answer

一种解决方法可能是使用ssh-keyscan作为附加步骤来获取 ssh 指纹，然后用通配符替换主机字段，*然后再将其保存到文件中。例如：

$ ssh-keyscan -p 1234 example.com | $ ssh-keyscan -p 1234 example.com perl -pe 's/.*? /* /' > example_fp

然后，每当您需要连接到该服务器时，您都可以引用example_fp（无论端口/dns/ip）：

$ ssh -o UserKnownHostsFile=example_fp -p 4321[电子邮件受保护]

Question 4

如果您有服务器的 pubkey 文件（副本），正如您的名字所示，您可以使用它来创建一个临时的known_hosts文件，例如：

sshfoo() {
  # assumes first arg is always user@host, otherwise adjust
  echo ${1#*@} $(cat foo-pubkey) >temp_myhosts
  ssh -oUserKnownHostsFile=temp_myhosts "$@"
  # or if you don't have anything you need in .ssh/known_hosts,
  # just overwrite that and omit the -o 
  rm temp_myhosts # or just leave it and replace it next time
}
# can use ssh for the function name if you always want this change,
# or if in the cases you don't want it you remember to override 
# with command ssh or $(which ssh) or /bin/ssh or whatever

如果您实际上有一个现有的known_hosts行（这是一个主机字段，后跟公钥文件的内容），您可以类似地修改它：

awk -vh="${1#*@}" "{$1=h;print}" <hosts_line >temp_myhosts

或者如果您有一个包含该行的文件，也许是通常的known_hosts：

awk -vh="${1#*@}" "$1~/oldname/{$1=h} 1" <.ssh/known_hosts >temp_myhosts

尤尔·伯连纳 (Yul Brynner) 等等。

Answer

如果您有服务器的 pubkey 文件（副本），正如您的名字所示，您可以使用它来创建一个临时的known_hosts文件，例如：

sshfoo() {
  # assumes first arg is always user@host, otherwise adjust
  echo ${1#*@} $(cat foo-pubkey) >temp_myhosts
  ssh -oUserKnownHostsFile=temp_myhosts "$@"
  # or if you don't have anything you need in .ssh/known_hosts,
  # just overwrite that and omit the -o 
  rm temp_myhosts # or just leave it and replace it next time
}
# can use ssh for the function name if you always want this change,
# or if in the cases you don't want it you remember to override 
# with command ssh or $(which ssh) or /bin/ssh or whatever

如果您实际上有一个现有的known_hosts行（这是一个主机字段，后跟公钥文件的内容），您可以类似地修改它：

awk -vh="${1#*@}" "{$1=h;print}" <hosts_line >temp_myhosts

或者如果您有一个包含该行的文件，也许是通常的known_hosts：

awk -vh="${1#*@}" "$1~/oldname/{$1=h} 1" <.ssh/known_hosts >temp_myhosts

尤尔·伯连纳 (Yul Brynner) 等等。

如果指纹已知，如何以编程方式接受 SSH 主机密钥？

答案1

答案2

答案3

答案4

相关内容