Verifique a impressão digital da chave do host no formato antigo

2

O formato de exibição do OpenSSH para impressões digitais de teclas host mudou recentemente - entre as versões 6.7 e 6.8. Ao se conectar a um novo host, a mensagem agora se parece com isso:

user@desktop:~$ ssh 10.33.1.114
The authenticity of host '10.33.1.114 (10.33.1.114)' can't be established.
ECDSA key fingerprint is SHA256:9ZTSzJsnk0byQRs24iKoYrf/d5eDvQL60tR/zO41k/I.
Are you sure you want to continue connecting (yes/no)?

No host remoto server (que alcancei por meio de uma terceira máquina, onde aceitei a chave anteriormente usando um cliente antigo), posso ver a impressão digital com

user@server:~$ ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key
256 a2:7e:2b:87:4c:47:69:16:78:9e:1a:4b:db:a7:a2:57  root@server (ECDSA)

Mas não há como combinar os dois.

Se eu instalar uma versão ssh mais antiga em desktop e primeiro conectar usando isso, vejo

user@desktop:~$ ssh 10.33.1.114
The authenticity of host '10.33.1.114 (10.33.1.114)' can't be established.
ECDSA key fingerprint is a2:7e:2b:87:4c:47:69:16:78:9e:1a:4b:db:a7:a2:57.
Are you sure you want to continue connecting (yes/no)?

Isso corresponde, portanto, posso aceitá-lo com segurança e é adicionado ao meu ~/.ssh/known_hosts . Então a versão mais recente de ssh também aceita. Mas isso requer que eu crie / instale a antiga versão ssh em desktop .

De uma resposta a outra pergunta sobre impressões digitais de servidores , aprendi que o formulário antigo pode ser exibido com ssh-keygen -E md5 e o novo é -E sha256 . Mas a opção -E apareceu somente quando o SHA256 se tornou o padrão - a versão de ssh-keygen on server pode mostrar apenas MD5. Para ver a impressão digital SHA256 da chave em que eu confio, primeiro preciso recuperá-la (por exemplo, através da terceira máquina) e colocá-la onde a nova ssh-keygen possa encontrá-la. Ou eu teria que executar um novo ssh-keygen on server . ( -E significa algo completamente diferente para ssh .)

Como posso exibir as duas chaves (aquela em que confio e a que estou sendo apresentada) no mesmo formato? De preferência, sem instalar versões adicionais ou copiar arquivos-chave por aí?

    
por JigglyNaga 19.08.2016 / 13:31

1 resposta

3

Use

ssh -o FingerprintHash=md5 10.33.1.114

para obter a impressão digital old- md5 do cliente.

    
por 19.08.2016 / 16:26