Content-type: text/html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML><HEAD><TITLE>Man page of SSH-KEYSCAN</TITLE>
</HEAD><BODY>
<H1>SSH-KEYSCAN</H1>
Section: User Commands  (1)<BR><A HREF="#index">Index</A>
<A HREF="/cgi-bin/man/man2html">Return to Main Contents</A><HR>
<BR>BSD mandoc<BR>
<A NAME="lbAB">&nbsp;</A>
<H2>NOM</H2>



<B>ssh-keyscan</B>

 - collecter des clefs publiques ssh

<A NAME="lbAC">&nbsp;</A>
<H2>SYNOPSIS</H2>

<B>ssh-keyscan</B>

-words

[-<B>46Hv </B>[-<B>f </B><I>file</I>



]





]

[-<B>p </B><I>port</I>



]

[-<B>T </B><I>timeout</I>



]

[-<B>t </B><I>type</I>



]

[<I>host | addrlist namelist</I>

]

<I>...</I>

<A NAME="lbAD">&nbsp;</A>
<H2>DESCRIPTION</H2>



<B>ssh-keyscan</B>


est un utilitaire pour collecter les clefs d'hôtes ssh publiques de
plusieurs hôtes.
Il a été conçu pour assister dans la constitution et la vérification
des fichiers
ssh_known_hosts

 
<B>ssh-keyscan</B>


fournit une interface minimale commode pour l'utilisation dans des
scripts shell ou Perl.
<P>

<B>ssh-keyscan</B>


utilise des entrées/sorties de socket non-bloquantes pour contacter
autant d'hôtes que possible en parallèle, donc il est très efficace.
Les clefs d'un domaine d'un millier d'hôtes peuvent être collectées en
quelques dizaines de secondes, même si certains de ces hôtes ne sont
pas accessibles ou n'exécutent pas ssh.
Pour l'analyse, il n'est pas nécessaire de disposer d'un compte sur
les machines, et le processus n'implique aucun cryptage.
<P>

Les options sont les suivantes :
<DL COMPACT>
<P>

<DT><B>-4</B>


<DD>
Force
<B>ssh-keyscan</B>


à n'utiliser que les adresses IPv4.
<DT><B>-6</B>


<DD>
Force
<B>ssh-keyscan</B>


à n'utiliser que les adresses IPv6.
<DT><B>-f </B><I>file</I>




<DD>
Lit les hôtes ou les couples
addrlist namelist

depuis ce fichier, un par ligne.
Si
-

est fourni à la place d'un nom de fichier,
<B>ssh-keyscan</B>


lira les hôtes ou les couples
addrlist namelist

depuis l'entrée standard.
<DT><B>-H</B>


<DD>
Hache tous les noms d'hôtes et les adresses dans la sortie.
Les noms hachés peuvent être utilisés normalement par
<B>ssh</B>

et
<B>sshd</B>

 
mais ne révèlent pas d'informations d'identification dans l'hypothèse
ou le contenu du fichier serait dévoilé.
<DT><B>-p </B><I>port</I>




<DD>
Port où se connecter sur l'hôte distant.
<DT><B>-T </B><I>timeout</I>




<DD>
Règle la temporisation pour les tentatives de connexion.
Si
timeout

secondes se sont écoulées depuis qu'une connexion a été initiée vers
un hôte ou depuis la dernière fois que quelque chose a été lu depuis
cet hôte, alors la connexion est fermée et l'hôte en question est
considéré indisponible.
La valeur par défaut est 5 secondes.
<DT><B>-t </B><I>type</I>




<DD>
Spécifie le type de clef à récupérer des hôtes analysés.
Les valeurs possibles sont
``rsa1''

pour la version 1 du protocole et
``dsa''

 
``ecdsa''

ou
``rsa''

pour la version 2 du protocole.
Plusieurs valeurs peuvent être spécifiées en les séparant par des
virgules.
La valeur par défaut est
``rsa''

 
<DT><B>-v</B>


<DD>
Mode bavard.
<B>ssh-keyscan</B>


affichera des messages de débogage sur son avancement.
</DL>
<P>

<A NAME="lbAE">&nbsp;</A>
<H2>SECURITÉ</H2>

Si un fichier ssh_known_hosts est construit avec
<B>ssh-keyscan</B>


sans vérifier les clefs, les utilisateurs seront vulnérables aux
attaques
<I>man in the middle</I>

 
D'un autre côté, si le modèle de sécurité tolère un tel risque,
<B>ssh-keyscan</B>


peut aider à la détection des fichiers de clefs falsifiés ou
d'attaques man in the middle qui auraient eues lieu après la création
du fichier ssh_known_hosts.
<A NAME="lbAF">&nbsp;</A>
<H2>FICHIERS</H2>

Format d'entree

 

<PRE>
1.2.3.4,1.2.4.4 name.my.domain,name,n.my.domain,n,1.2.3.4,1.2.4.4
</PRE>

<P>

Format de sortie pour les clefs RSA1

 

<PRE>
host-or-namelist bits exponent modulus
</PRE>

<P>

Format de sortie pour les clefs RSA, DSA et ECDSA

 

<PRE>
host-or-namelist keytype base64-encoded-key
</PRE>

<P>

Où
keytype

est soit
``ecdsa-sha2-nistp256''

 
``ecdsa-sha2-nistp384''

 
``ecdsa-sha2-nistp521''

 
``ssh-dss''

ou
``ssh-rsa''

 
<P>

/etc/ssh/ssh_known_hosts

<A NAME="lbAG">&nbsp;</A>
<H2>EXEMPLES</H2>

Afficher la clef d'hôte
rsa

pour la machine
hostname 

 

<PRE>
$ ssh-keyscan hostname
</PRE>

<P>

Trouver tous les hôtes depuis le fichier
ssh_hosts

qui ont des clefs nouvelles ou différentes de celles du fichier
ssh_known_hosts

 

<PRE>
$ ssh-keyscan -t rsa,dsa,ecdsa -f ssh_hosts | \
        sort -u - ssh_known_hosts | diff ssh_known_hosts -
</PRE>

<A NAME="lbAH">&nbsp;</A>
<H2>VOIR AUSSI</H2>

<A HREF="/cgi-bin/man/man2html?1+ssh">ssh</A>(1),


<A HREF="/cgi-bin/man/man2html?8+sshd">sshd</A>(8)


<A NAME="lbAI">&nbsp;</A>
<H2>AUTEURS</H2>

An -nosplit

An David Mazieres Aq <A HREF="mailto:dm@lcs.mit.edu">dm@lcs.mit.edu</A>

a écrit la version initiale et
An Wayne Davison Aq <A HREF="mailto:wayned@users.sourceforge.net">wayned@users.sourceforge.net</A>

a ajouté le support de la version du protocole version 2.
<A NAME="lbAJ">&nbsp;</A>
<H2>BUGS</H2>

La commande génère des messages &quot;Connection closed by remote host&quot; sur
les consoles de toutes les machines analysées si le serveur a une
version antérieure à la version 2.9. C'est parce qu'il ouvre une
connexion au port ssh, lit la clef publique et lâche la connexion dès
qu'il obtient la clef.
<P>

<HR>
<A NAME="index">&nbsp;</A><H2>Index</H2>
<DL>
<DT><A HREF="#lbAB">NOM</A><DD>
<DT><A HREF="#lbAC">SYNOPSIS</A><DD>
<DT><A HREF="#lbAD">DESCRIPTION</A><DD>
<DT><A HREF="#lbAE">SECURITÉ</A><DD>
<DT><A HREF="#lbAF">FICHIERS</A><DD>
<DT><A HREF="#lbAG">EXEMPLES</A><DD>
<DT><A HREF="#lbAH">VOIR AUSSI</A><DD>
<DT><A HREF="#lbAI">AUTEURS</A><DD>
<DT><A HREF="#lbAJ">BUGS</A><DD>
</DL>
<HR>
This document was created by
<A HREF="/cgi-bin/man/man2html">man2html</A>,
using the manual pages.<BR>
Time: 20:12:50 GMT, August 07, 2011
</BODY>
</HTML>