SHA256 ssh फ़िंगरप्रिंट क्लाइंट द्वारा दिया गया, लेकिन केवल md5 फ़िंगरप्रिंट सर्वर के लिए जाना जाता है

एक नए / अज्ञात सर्वर (हाल के ओपनएसएसएच के साथ) को जोड़ने पर, उदाहरण के लिए:

ssh example.com

आपको नीचे जैसा फिंगरप्रिंट मिलता है:

The authenticity of host 'example.org (192.0.2.42)' can't be established.
RSA key fingerprint is SHA256:7KMZvJiITZ+HbOyqjNPV5AeC5As2GSZES5baxy1NIe4.
Are you sure you want to continue connecting (yes/no)?

हालाँकि, इस रूप में फिंगरप्रिंट आमतौर पर सर्वर के लिए दिए जाते हैं:

f6:fc:1c:03:17:5f:67:4f:1f:0b:50:5a:9f:f9:30:e5

मैं प्रामाणिकता की जांच कैसे कर सकता हूं (बिना SHA256 फिंगरप्रिंट प्रदान करने के लिए सर्वर प्रवेश किए बगैर)?

पहले फिंगरप्रिंट को हेक्सेड md5 हैश के रूप में दिया गया था। ओपनएसएसएच 6.8 से शुरू होकर फिंगरप्रिंट अब बेस 64 SHA256 (डिफ़ॉल्ट रूप से) के रूप में प्रदर्शित होता है। आप सीधे इनकी तुलना नहीं कर सकते।

उन्होंने एक नया कॉन्फ़िगरेशन विकल्प भी जोड़ा FingerprintHash। आप रख सकते हैं

FingerprintHash md5

अपने ~/.ssh/configपुराने ( कम सुरक्षित ) डिफ़ॉल्ट पर वापस जाने के लिए या केवल एकल उपयोग के लिए इस विकल्प का उपयोग करें:

ssh -o FingerprintHash=md5 example.org

जो फिंगरप्रिंट देगा

MD5:f6:fc:1c:03:17:5f:67:4f:1f:0b:50:5a:9f:f9:30:e5

उम्मीद है कि सर्वर प्रवेश निकट भविष्य में दोनों प्रकार के फिंगरप्रिंट प्रदान करते हैं।

संपादित करें:

जैसा कि आर्क लिनक्स मंचों में दिया गया है , एक तीसरा विकल्प भी है:

Host example.org
    FingerprintHash md5

संपादित करें:

आप OpenSSH रसोई की किताब पर दी गई एक मनमानी कुंजी का हैश उत्पन्न कर सकते हैं :

कुंजी प्राप्त करें:

• के साथ कुंजी डाउनलोड करें ssh-keyscan example.org > key.pub
• या: सर्वर में कुंजियों को खोजें /etc/ssh

हैश उत्पन्न करें:

• सुनिश्चित करें कि आपके पास केवल एक पंक्ति / प्रकार है, इसलिए या तो अन्य सभी को हटाएं key.pubया चलाएंssh-keyscan -t rsa example.org > key.pub
• ssh-keygen -l -f key.pub (डिफ़ॉल्ट हैश, ओपनएसएसएच संस्करण पर निर्भर करता है)
• ssh-keygen -l -f key.pub -E md5 (वर्तमान OpenSSH पर md5)
• awk '{print $2}' ssh_host_rsa_key.pub | base64 -d | sha256sum -b | awk '{print $1}' | xxd -r -p | base64 (पुराने OpenSSH पर sha256)
• (आपको awk '{print $3}'ssh-keycan के नए संस्करणों के लिए लाइन शुरू करने की आवश्यकता हो सकती है क्योंकि प्रारूप बदल गया है)

बस छोटी सी बैश स्क्रिप्ट बनाई गई है जो /etc/ssh/sshd_configदोनों SSH-256और MD5अलगो में सर्वर (अनुमति के अनुसार ) पर अनुमति देने वाले सभी प्रमुख सिफर के लिए उंगलियों के निशान के साथ प्रिंट करेगी । यहाँ एक उदाहरण आउटपुट है:

 +---------+---------+-----------------------------------------------------+
 | Cipher  | Algo    | Fingerprint                                         |
 +---------+---------+-----------------------------------------------------+
 | RSA     | MD5     | MD5:15:66:80:fd:79:d8:c0:92:e8:39:4a:bc:4e:c4:00:15 |
 | RSA     | SHA-256 | SHA256:G+rKuLGk+8Z1oxUV3cox0baNsH0qGQWm/saWPr4qZMM  |
 +---------+---------+-----------------------------------------------------+
 | ECDSA   | MD5     | MD5:f5:90:5c:03:2e:38:1b:c9:86:bd:86:47:5d:22:79:17 |
 | ECDSA   | SHA-256 | SHA256:GGmuOzsG4EGeRV9KD1WK7tRf3nIc40k/5jRgbTZDpTo  |
 +---------+---------+-----------------------------------------------------+
 | ED25519 | MD5     | MD5:d1:5a:04:56:37:f4:75:19:22:e6:e5:d7:41:fd:79:fa |
 | ED25519 | SHA-256 | SHA256:QVdqYeVzvsP4n5yjuN3D2fu8hDhskOxQCQAV5f9QK7w  |
 +---------+---------+-----------------------------------------------------+

 +---[RSA 2048]----+ +---[RSA 2048]----+ +---[ECDSA 256]---+ +---[ECDSA 256]---+ +--[ED25519 256]--+ +--[ED25519 256]--+
 |.oE.   +.++      | |        .o+=     | |      ... Eoo    | |  .. o.o..      .| |        ooo++o.+*| |   .o++o. +oo    |
 |  .   o +oo.     | |        .o= =    | |     +.=.=.o .   | | . .o *..      ..| |       . oo.+o.o=| |      ...o.+     |
 |   + . . o.=     | |       ... X +   | |    . X.o.*      | |o o  ++o      .. | |        . o. ...+| |       ..oo.o .  |
 |    = +  .+ o    | |      ..  = + o  | |     + = o o     | |.+  .o.o     .o  | |         +    ..o| |        =oo .+   |
 |   o o .S  .     | |     . .S  o o   | |    . = S   .    | |...  oo.S  .E* * | |        S      ..| |       .SO .  .  |
 |    +            | |    . E. =o..    | |     o           | | .. o.  . o *.O o| |              .  | |        o B .o.. |
 |   o             | | .o. *.o. *.     | |                 | |   ...   . o * * | |               . | |         E *..=.o|
 |    .            | | oo=...  +.      | |                 | |    +.      o + o| |                E| |          . +.+B+|
 |                 | |o+=.o....o+o     | |                 | |   .o+         . | |                 | |           o.ooOX|
 +------[MD5]------+ +----[SHA256]-----+ +------[MD5]------+ +----[SHA256]-----+ +------[MD5]------+ +----[SHA256]-----+

स्क्रिप्ट नीचे SSHसंस्करण के साथ सर्वरों पर भी चलेगी 6.8(पहले -E md5विकल्प जोड़ा गया था)।

संपादित करें: SSH के और भी हाल के संस्करणों के लिए अद्यतित संस्करण, जो ASCII छवियों के समर्थन के साथ अब डिफ़ॉल्ट सिफर स्विच करते हैं।

#!/bin/bash
# server_ssh_fingerprints
#
# Version 0.2
#
# 2016 Kepi <kepi@igloonet.cz
# MIT License
#
# Print fingerprint matrix for all allowed Host Keys
# with all allowed ciphers and MD5 and SHA-256 algos
#
# Changelog:
#
# 2018-03-11 (0.2):
# - Support for newer versions of OpenSSH
# - Added visual keys for all algos too - only in recent OpenSSH versions

# standard sshd config path
SSHD_CONFIG=/etc/ssh/sshd_config

# helper functions
function tablize {
    awk '{printf(" | %-7s | %-7s | %-51s |\n", $1, $2, $3)}'
}
LINE=" +---------+---------+-----------------------------------------------------+"

# header
echo "$LINE"
echo "Cipher" "Algo" "Fingerprint" | tablize
echo "$LINE"

declare -A ALGOS
declare -a ASCII

# fingerprints
while read -r host_key; do
    cipher=$(echo "$host_key" | sed -r 's/^.*ssh_host_([^_]+)_key\.pub$/\1/'| tr 'a-z' 'A-Z')
    if [[ -f "$host_key" ]]; then
        if ssh-keygen -E md5 -l -f "$host_key" &>/dev/null; then
        IFS=$'\n'

        for algo in md5 sha256; do
            n=0
            for line in $(ssh-keygen -E $algo -lv -f "$host_key"); do
                n=$(( n + 1))
                if [[ $n -eq 1 ]]; then
                    ALGOS[$algo]=$(echo "$line" | awk '{print $2}')
                else
                    ASCII[$n]="${ASCII[$n]} ${line}"
                fi
            done
        done
        else
            ALGOS[md5]=$(ssh-keygen -l -f "$host_key" | awk '{print $2}')
            ALGOS[sha256]=$(awk '{print $2}' "$host_key" | base64 -d | sha256sum -b | awk '{print $1}' | xxd -r -p | base64)
        fi

        echo "$cipher" MD5 "${ALGOS[md5]}" | tablize
        echo "$cipher" SHA-256 "${ALGOS[sha256]}" | tablize
        echo "$LINE"
    fi
 done < <(awk '/^HostKey/ {sub(/^HostKey\s+/,"");print $0".pub"};' $SSHD_CONFIG)

echo
for line in "${ASCII[@]}"; do
    echo "$line"
done

यह सिर्फ सुंदर JonnyJDजवाब के जवाब से जानकारी का उपयोग कर प्रिंट है । धन्यवाद।

यह ssh-keygen निकला (संस्करण 6.6 के कुछ समय बाद; संभवतः 6.8) के पास एक -E md5विकल्प है, जो इसे md5 फिंगरप्रिंट के रूप में फिंगरप्रिंट को प्रिंट करने का कारण बनेगा। इसलिए, यदि आप सर्वर की सार्वजनिक कुंजी फ़ाइल को स्वतंत्र रूप से हड़प सकते हैं, तो आप उसे फीड कर सकते हैं ssh-keygen -E md5 -l -f ssh_host_rsa_key.pubऔर अपना परिचित फिंगरप्रिंट प्राप्त कर सकते हैं।

निम्नलिखित एक-लाइनर काम करता है (कम से कम) Ubuntu 16.04,18.04 / Centos >= 7

(सर्वर के साथ परीक्षण किया गया: openssh 3.9- openssh 7.4)

ssh-keygen -l -E md5 -f <(ssh-keyscan -t rsa 192.168.2.1) \
| awk '{print $2}' | cut -d":" -f 2-

आउटपुट:

# 192.168.2.1:22 SSH-2.0-OpenSSH_5.3
65:2c:c4:03:03:2f:6d:c0:c0:09:79:e7:33:c4:f1:78

तालिका में यादृच्छिक कला प्राप्त करने के लिए संशोधित करने की कोशिश की:

# standard sshd config path
SSHD_CONFIG=/etc/ssh/sshd_config

# helper functions
function tablize {
        awk '{printf("| %-7s | %-51s |\n", $1, $3)}'
}
LINE="+---------+-----------------------------------------------------+"

# header
echo $LINE
echo "Cipher" "Fingerprint" "Fingerprint" | tablize
echo $LINE

# fingerprints
for host_key in $(awk '/^HostKey/ {sub(/^HostKey\s+/,"");print $0".pub"};' $SSHD_CONFIG); do
        cipher=$(echo $host_key | sed -r 's/^.*ssh_host_([^_]+)_key\.pub$/\1/'| tr '[a-z]' '[A-Z]')
        if [[ -f "$host_key" ]]; then
                md5=$(ssh-keygen -l -f $host_key -E md5 | awk '{print $2}')
                sha256=$(ssh-keygen -l -f $host_key | awk '{print $2}')
                art_sha256=$(ssh-keygen -lv -f $host_key | grep -v -w "256 SHA256" | grep -v -w "1024 SHA256" | grep -v -w "2048 SHA256")
                art_md5=$(ssh-keygen -lv -f $host_key -E md5 | grep -v "256 MD5" | grep -v "1024 MD5" | grep -v "2048 MD5")

                echo $cipher MD5 $md5 | tablize
                echo $cipher SHA-256 $sha256 | tablize
                echo $art_sha256 | tablize
                echo $art_md5 | tablize
                echo $LINE
        fi
done

... लेकिन मैं वास्तव में एक प्रोग्रामर नहीं हूं और स्क्रिप्ट उम्मीद के मुताबिक काम नहीं करती है। सराहना करेंगे अगर कोई भी ठीक करने में मदद कर सकता है (सफाई भी)। वहाँ और अधिक कुशलता से अंतरिक्ष का उपयोग करने के लिए कंधे से कंधा मिलाकर sh256 और md5 यादृच्छिक कला छवियों के लिए अच्छा होगा। मैंने md5 और sha256 कमांड को भी संशोधित किया क्योंकि मूल लोगों ने मेरे लिए काम नहीं किया (शायद बहुत नई प्रणाली) - केवल sha256 को तालिका में "=" संकेत के साथ प्रकट किया गया था जो वास्तविक फिंगरप्रिंट का हिस्सा नहीं था और इसे हटा नहीं सका।

(क्षमा करें, मैं हाल ही में पंजीकृत के रूप में टिप्पणी नहीं कर सकता)