ssh-keyscan não revela a chave DSA ssh-dss

Question

ssh-keyscan não revela a chave DSA ssh-dss

#1 resposta do (1 votos)
#2 resposta do (0 votos)

2

Estou usando ssh-keyscan para obter chaves públicas para alguns servidores SSH. Um dos meus appliances suporta apenas DSA / ssh-dss. ssh-keyscan com a opção "-t dsa" não é capaz de obter a chave pública enquanto o script do Nmap ssh-hostkey é de fato capaz de obtê-la.

ssh-keyscan:

weberjoh@nb15-lx:~$ ssh-keyscan -t dsa ssg-mgmt
# ssg-mgmt:22 SSH-2.0-NetScreen

Nmap:

weberjoh@nb15-lx:~$ nmap --script ssh-hostkey ssg-mgmt

Starting Nmap 7.01 ( https://nmap.org ) at 2017-10-11 16:00 CEST
Nmap scan report for ssg-mgmt (192.168.120.3)
Host is up (0.0026s latency).
rDNS record for 192.168.120.3: ssg-mgmt.webernetz.net
Not shown: 998 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
| ssh-hostkey:
|_  1024 e7:5b:c9:a9:60:60:66:37:d6:90:bd:70:8f:76:e5:41 (DSA)
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 7.28 seconds

Como posso usar o ssh-keyscan para mostrar a chave pública do DSA?

ssh nmap ssh-keys dsa

por Johannes Weber 11.10.2017 / 16:24

2 respostas

Tags ssh nmap ssh-keys dsa

HAProxy recarrega muito lento (quase 3 minutos) Arquitetando um Docker Swarm com armazenamento persistente

score 1 · Answer 1

Isso pode ser devido a novas versões do OpenSSH não suportando DSA por padrão . Na sua máquina cliente, tente adicionar o seguinte no seu ~/.ssh/config :

PubkeyAcceptedKeyTypes=+ssh-dss

Lembre-se também de que as chaves de DSA podem ser menos seguras . você deve considerar substituí-los em seus servidores, se possível.

score 0 · Answer 2

Aqui está uma solução para o ssh-keyscan não obedecendo ao ~ / .ssh / config nem tomando nenhuma opção.

$ ssh -o UserKnownHostsFile=junk -o KexAlgorithms=+diffie-hellman-group1-sha1 192.168.1.2
The authenticity of host '192.168.1.2 (192.168.1.2)' can't be established.
RSA key fingerprint is SHA256:iCnx+DQCcb4rAfNEE71mDiFc+ej9X+XBzBd/5/ueDtE.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.2' (RSA) to the list of known hosts.
root@router:~# ^D
Connection to 192.168.1.2 closed.
$ cut -d' ' -f2- < junk > junk2
$ ssh-keygen -r 192.168.1.2 -f junk2
192.168.1.2 IN SSHFP 1 1 28.....17
192.168.1.2 IN SSHFP 1 2 882....ed1
$ rm -f junk junk2

e

ssh -o UserKnownHostsFile=junk -o KexAlgorithms=+diffie-hellman-group1-sha1 -o HostKeyAlgorithms=ssh-dss 192.168.1.2

se você quiser forçar o DSA em vez do RSA.

E para os preguiçosos entre nós:

h=192.168.1.2; for t in ssh-rsa ssh-dss ssh-ed25519 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521; do ssh -o CheckHostIp=no -o StrictHostKeyChecking=no -o UserKnownHostsFile=junk -o KexAlgorithms=+diffie-hellman-group1-sha1 -o HostKeyAlgorithms="${t}" "${h}" true && cut -d' ' -f2- < junk > junk2 && ssh-keygen -r "${h}" -f junk2; rm -f junk junk2; done

que produz:

Warning: Permanently added '192.168.1.2' (RSA) to the list of known hosts.
192.168.1.2 IN SSHFP 1 1 28...17
192.168.1.2 IN SSHFP 1 2 882...ed1
Warning: Permanently added '192.168.1.2' (DSA) to the list of known hosts.
192.168.1.2 IN SSHFP 2 1 40..3c
192.168.1.2 IN SSHFP 2 2 26f...e6f
Unable to negotiate with 192.168.1.2 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss
...