Hi,
wie kann ich den Host-Key-Fingerprint eines SSH-Servers abfragen, ohne den Host aus meiner known_hosts Datei zu nehmen?
Konrad
am Sat, dem 03.01.2004, um 17:22:25 +0100 mailte Konrad Rosenbaum folgendes: Content-Description: signed data
Hi,
wie kann ich den Host-Key-Fingerprint eines SSH-Servers abfragen, ohne den Host aus meiner known_hosts Datei zu nehmen?
ssh-keyscan
Andreas
On Saturday 03 January 2004 17:54, Andreas Kretschmer wrote:
am Sat, dem 03.01.2004, um 17:22:25 +0100 mailte Konrad Rosenbaum folgendes: Content-Description: signed data
wie kann ich den Host-Key-Fingerprint eines SSH-Servers abfragen, ohne den Host aus meiner known_hosts Datei zu nehmen?
ssh-keyscan
Nicht wirklich. Keyscan gibt mir nur komplette Keys aus, nicht die Fingerprints. Genausowenig hilft "ssh -vvv".
Dieser Trick geht auch nicht: $ ssh root@remotehost $ eval `ssh-agent` $ ssh-add /etc/ssh/ssh_host_[rd]sa_key $ ssh-add -l
Der Angezeigte Wert ist nicht identisch zu dem, der beim Login abgefragt wird.
Ich habe mir erstmal beholfen indem ich mich auf dem Server eingeloggt habe, dort die known_hosts "bereinigt" und dann "ssh localhost".
Ich weiss nicht, an was die SSH-Entwickler dabei gedacht haben, aber an Usability bestimmt nicht. :-(
Konrad
am Sat, dem 03.01.2004, um 18:31:37 +0100 mailte Konrad Rosenbaum folgendes: Content-Description: signed data
On Saturday 03 January 2004 17:54, Andreas Kretschmer wrote:
am Sat, dem 03.01.2004, um 17:22:25 +0100 mailte Konrad Rosenbaum folgendes: Content-Description: signed data
wie kann ich den Host-Key-Fingerprint eines SSH-Servers abfragen, ohne den Host aus meiner known_hosts Datei zu nehmen?
ssh-keyscan
Nicht wirklich. Keyscan gibt mir nur komplette Keys aus, nicht die Fingerprints. Genausowenig hilft "ssh -vvv".
Dann verfüttere es an ssh-keygen, die Option -l gibt den Fingerprint aus.
Andreas
On Saturday 03 January 2004 18:47, Andreas Kretschmer wrote:
am Sat, dem 03.01.2004, um 18:31:37 +0100 mailte Konrad Rosenbaum
Nicht wirklich. Keyscan gibt mir nur komplette Keys aus, nicht die Fingerprints. Genausowenig hilft "ssh -vvv".
Dann verfüttere es an ssh-keygen, die Option -l gibt den Fingerprint aus.
keygen gibt den selben Wert aus, wie ssh-add. Seltsamerweise stimmt der nicht mit dem von ssh angefragten Wert überein.
ssh-keygen kann man auch gleich auf die known_hosts loslassen, habe ich gerade herausgefunden. Schade, dass die Werte nicht mit denen von SSH selbst übereinstimmen...
http://bugzilla.mindrot.org/show_bug.cgi?id=780
Konrad
Hallo.
On Sat, 3 Jan 2004 19:46:30 +0100 Konrad Rosenbaum konrad@silmor.de wrote:
On Saturday 03 January 2004 18:47, Andreas Kretschmer wrote:
am Sat, dem 03.01.2004, um 18:31:37 +0100 mailte Konrad Rosenbaum
Nicht wirklich. Keyscan gibt mir nur komplette Keys aus, nicht die Fingerprints. Genausowenig hilft "ssh -vvv".
Dann verfüttere es an ssh-keygen, die Option -l gibt den Fingerprint aus.
keygen gibt den selben Wert aus, wie ssh-add. Seltsamerweise stimmt der nicht mit dem von ssh angefragten Wert überein.
ssh-keygen kann man auch gleich auf die known_hosts loslassen, habe ich gerade herausgefunden. Schade, dass die Werte nicht mit denen von SSH selbst übereinstimmen...
http://bugzilla.mindrot.org/show_bug.cgi?id=780
Konrad
Additional Comment #1 From Ben Lindstrom 2004-01-03 11:50
I don't follow:
$ ssh-keygen -l -f known_hosts [..] 1024 22:50:97:bc:73:65:1f:b7:77:17:f4:75:a7:b1:9a:9e localhost [..]
ssh ::1 The authenticity of host '::1 (::1)' can't be established. RSA key fingerprint is 22:50:97:bc:73:65:1f:b7:77:17:f4:75:a7:b1:9a:9e. Are you sure you want to continue connecting (yes/no)?
Please look at a NEWER version 3.4 is rather old.
- Ben
Geht bei mir auch so, wie er es sagt.
frank@whisper ~ $ ssh -V OpenSSH_3.7.1p2, SSH protocols 1.5/2.0, OpenSSL 0.9.6k 30 Sep 2003
Dabei kommt mir eine Idee, um die Fingerprints zu testen, leider muss man dafür root sein:
Man den Fingerprint von 1.2.3.4 testen.
# echo -e "1.2.3.4\t1.2.3.4.ssh-fingerprint" >> /etc/hosts
# ssh 1.2.3.4.ssh-fingerprint
Mir fällt jetzt nicht ein, wie man die Zeile aus der hosts automatisch wieder löschen kann und ssh dazu bringen, gleich wieder auszusteigen. Aber das sollte ein geringeres Problem sein.
Grüße Frank Benkstein.
am Sat, dem 03.01.2004, um 19:46:30 +0100 mailte Konrad Rosenbaum folgendes: Content-Description: signed data
On Saturday 03 January 2004 18:47, Andreas Kretschmer wrote:
am Sat, dem 03.01.2004, um 18:31:37 +0100 mailte Konrad Rosenbaum
Nicht wirklich. Keyscan gibt mir nur komplette Keys aus, nicht die Fingerprints. Genausowenig hilft "ssh -vvv".
Dann verfüttere es an ssh-keygen, die Option -l gibt den Fingerprint aus.
keygen gibt den selben Wert aus, wie ssh-add. Seltsamerweise stimmt der nicht mit dem von ssh angefragten Wert überein.
gerade im lokalen LAN nachvollzogen: krass. Das ist echt übel *kotz*.
Andreas
On Sat, 3 Jan 2004 20:13:10 +0100 Andreas Kretschmer kretschmer@kaufbach.delug.de wrote:
am Sat, dem 03.01.2004, um 19:46:30 +0100 mailte Konrad Rosenbaum folgendes: Content-Description: signed data
On Saturday 03 January 2004 18:47, Andreas Kretschmer wrote:
am Sat, dem 03.01.2004, um 18:31:37 +0100 mailte Konrad Rosenbaum
Nicht wirklich. Keyscan gibt mir nur komplette Keys aus, nicht die Fingerprints. Genausowenig hilft "ssh -vvv".
Dann verfüttere es an ssh-keygen, die Option -l gibt den Fingerprint aus.
keygen gibt den selben Wert aus, wie ssh-add. Seltsamerweise stimmt der nicht mit dem von ssh angefragten Wert überein.
gerade im lokalen LAN nachvollzogen: krass. Das ist echt übel *kotz*.
frank@whisper ~ $ ssh-keygen -l -f .ssh/known_hosts | grep localhost 1024 ab:b8:98:61:09:d8:3c:da:bf:34:c2:10:8f:d9:ad:1c localhost
frank@whisper ~ $ ssh ::1 The authenticity of host '::1 (::1)' can't be established. RSA key fingerprint is ab:b8:98:61:09:d8:3c:da:bf:34:c2:10:8f:d9:ad:1c. Are you sure you want to continue connecting (yes/no)?
frank@whisper ~ $ ssh -V OpenSSH_3.7.1p2, SSH protocols 1.5/2.0, OpenSSL 0.9.6k 30 Sep 2003
am Sat, dem 03.01.2004, um 20:25:07 +0100 mailte Frank Benkstein folgendes:
frank@whisper ~ $ ssh-keygen -l -f .ssh/known_hosts | grep localhost 1024 ab:b8:98:61:09:d8:3c:da:bf:34:c2:10:8f:d9:ad:1c localhost
frank@whisper ~ $ ssh ::1 The authenticity of host '::1 (::1)' can't be established. RSA key fingerprint is ab:b8:98:61:09:d8:3c:da:bf:34:c2:10:8f:d9:ad:1c. Are you sure you want to continue connecting (yes/no)?
frank@whisper ~ $ ssh -V OpenSSH_3.7.1p2, SSH protocols 1.5/2.0, OpenSSL 0.9.6k 30 Sep 2003
kretschmer@kaufbach:~$ ssh-keygen -l -f .ssh/known_hosts | grep magda 1024 fe:e3:cb:04:85:5d:cb:ff:a1:34:45:0c:b8:d9:9f:14 magda
kretschmer@kaufbach:~$ ssh-keyscan magda > out.txt # magda SSH-1.99-OpenSSH_3.4p1 Debian 1:3.4p1-2
kretschmer@kaufbach:~$ ssh-keygen -f out.txt -l 1024 d0:c8:56:2e:9d:28:a3:c1:16:bd:c7:ce:f2:06:44:65 magda
kretschmer@kaufbach:~$ ssh -V OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3, SSH protocols 1.5/2.0, OpenSSL 0x0090603f
(magda ist Reechner meiner Tochter Magdalena im internen Netz)
Andreas
Am 03.01.04 um 20:13 schrieb Andreas Kretschmer:
am Sat, dem 03.01.2004, um 19:46:30 +0100 mailte Konrad Rosenbaum folgendes: Content-Description: signed data
keygen gibt den selben Wert aus, wie ssh-add. Seltsamerweise stimmt der nicht mit dem von ssh angefragten Wert überein.
gerade im lokalen LAN nachvollzogen: krass. Das ist echt übel *kotz*.
Ich bin einer von den (wenigen?), bei denen es geht. Wollen wir nen Poll machen? ;)
jonas ~ $ ssh-keygen -l -f .ssh/known_hosts | grep aegis 1024 8c:c5:e3:8f:d0:52:17:2e:a8:9a:5b:98:d5:6a:6d:4b aegis
jonas ~ $ ssh lh The authenticity of host 'lh(127.0.0.1)' can't be established. RSA key fingerprint is 8c:c5:e3:8f:d0:52:17:2e:a8:9a:5b:98:d5:6a:6d:4b. Are you sure you want to continue connecting (yes/no)?
jonas ~ $ ssh -V OpenSSH_3.7.1p2, SSH protocols 1.5/2.0, OpenSSL 0.9.6k 30 Sep 2003
MfG, Jonas
Hallo,
auch mit einer nicht ganz aktuellen Version geht es bei mir.
$ ssh -V OpenSSH_3.6.1p2, SSH protocols 1.5/2.0, OpenSSL 0x009060cf
Gruß Matthias
On Saturday 03 January 2004 22:51, Matthias Sauppe wrote:
auch mit einer nicht ganz aktuellen Version geht es bei mir.
$ ssh -V OpenSSH_3.6.1p2, SSH protocols 1.5/2.0, OpenSSL 0x009060cf
Danke. Ich werde wohl doch mal meine Workstation komplett auf testing hochziehen müssen...
Konrad
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Frank Benkstein -
Jonas Witt -
Konrad Rosenbaum -
Matthias Sauppe