obtém a impressão digital da chave SSH no formato hexadecimal (antigo) na nova versão do openssh

Navegue suas respostas
18

Parece que o openssh mudou a forma como mostra as principais impressões digitais.

Estou tentando o ssh de uma máquina cliente para um servidor:

  • cliente: ubuntu 14.04 executando o OpenSSH 6.6.1
  • servidor: FreeBSD executando o OpenSSH 7.2p2.

O cliente relata o hash md5 da chave do servidor como uma sequência de 16 pares de dígitos hexadecimais, assim:

a7:b1:3e:3d:84:24:a2:5a:91:5f:6f:e9:cf:dd:2b:6a

O padrão do servidor é usar o hash sha256, mas graças a esta resposta eu posso forçá-lo a fornecer o hash sha1 executando:

[root@host /etc/ssh]# ssh-keygen -l -E sha1 -f ssh_host_ecdsa_key.pub

Eu quero que o resultado seja assim:

a7:b1:3e:3d:84:24:a2:5a:91:5f:6f:e9:cf:dd:2b:6a

mas em vez disso eu entendo isso:

256 SHA1:KIh0ejR4O+RqrSq7JdGAASddRfI [email protected] (ECDSA)

Parece-me que uma versão codificada em base64 da impressão digital está sendo exibida em vez de dígitos hexadecimais.

Como posso obter a soma de verificação da chave do servidor no mesmo formato que o relatado pelo cliente (mais antigo) (dígitos hexadecimais separados, sha1 hash) para verificar se são os mesmos?

EDITAR: A versão antiga do SSH fornece a soma de verificação md5 , não a soma de verificação sha1, como pensei erroneamente. Usar essa soma de verificação (como a resposta agora aceita deve indicar) na opção -E fornece a saída desejada.

    
por stochastic 12.06.2016 / 00:30

3 respostas

28

The client reports the sha1 hash of the server's key as a sequence of 16 pairs of hex digits, like this: 

    a7:b1:3e:3d:84:24:a2:5a:91:5f:6f:e9:cf:dd:2b:6a

Este é o hash MD5.

Como você pode ver executando 

ssh-keygen -l -E md5 -f ssh_host_ecdsa_key.pub

vai te dar a mesma impressão digital que você precisa sem o harakiri que você está explicando em sua resposta.

    
por 12.06.2016 / 09:50
2

Como se vê, o Manual de SSH tem uma maneira de gerar chaves manualmente formato hexadecimal mais antigo. Eu usei isso no servidor freebsd.

awk '{print $2}' key.pub | base64 -d | md5 | sed 's/../&:/g; s/: .*$//'

Quebrando isso:

awk '{print $2}' key.pub

imprime a segunda coluna (separada por espaços) em "key.pub", que é a chave em si

base64 -d

a chave é codificada em base64. Isto irá mostrar os bytes reais da chave

md5

este é o equivalente do freebsd do 'md5sum -b' que foi especificado na receita na página do livro de receitas ssh

sed 's/../&:/g; s/: .*$//'

Existem dois comandos sed aqui:

s/../&:/g;

substitua cada par de caracteres na linha (graças ao sinalizador 'g' no final) com o mesmo par seguido por dois-pontos

s/: .*$//'

remova qualquer cólon final (substitua um cólon seguido por um espaço seguido por qualquer coisa até o final da linha com nada).

    
por 12.06.2016 / 00:37
1

Em casos como este eu uso o seguinte pequeno script (testado no Debian e no Ubuntu): 

#!/bin/sh

# Gather the public ssh host keys for the given host
# and for each key print the fingerprint in hex format using the given
# checksum command (e.g. md5sum, sha256sum, ...)

if [ "$#" != 2 ]; then
  echo "usage: $0 hostname checksum_command"
  exit 1
fi

ssh-keyscan $1 2>/dev/null | while read -r line; do
  echo "Scanned key:"
  echo $line
  echo "$2 fingerprint:"
  echo $line | awk '{print $3}' | base64 -d | $2 -b | awk '{print $1}' | sed 's/../&:/g' | sed 's/:$//'
  echo
done

Exemplo de uso: 

$ myscript host.example.com md5sum
Scanned key:
host.example.com ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIJUXq7vpcEpnZQxxiLw/tdg8ui4LoqbW1O5nGyLtGw49
md5sum fingerprint:
6c:ef:26:f7:98:ad:ed:5b:cc:ff:83:13:46:c9:f6:79

Scanned key:
host.example.com ssh-rsa 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
md5sum fingerprint:
b2:9c:cd:30:b1:38:e3:d1:17:d6:73:eb:03:9a:80:83

$ myscript host.example.com sha256sum
Scanned key:
host.example.com ssh-rsa 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
sha256sum fingerprint:
f4:61:58:e4:90:65:c4:70:98:7f:d1:40:0a:d8:d9:79:14:e6:91:dc:b6:ed:91:8c:c0:df:d9:65:db:dd:a0:18

Scanned key:
host.example.com ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIJUXq7vpcEpnZQxxiLw/tdg8ui4LoqbW1O5nGyLtGw49
sha256sum fingerprint:
4b:73:d1:d7:80:87:46:64:56:71:64:10:7a:66:83:9b:c7:58:39:0b:16:74:dd:9b:d9:4b:e5:d5:61:7e:99:45
    
por 28.09.2017 / 19:44

Tags

Como posso deixar o TextMate mostrar números de linha quando estou codificando C ++? Evita que uma única janela do IE com múltiplas abas abertas seja exibida como múltiplas janelas na barra de tarefas? [duplicado]