ssh-keyscan не обнаруживает DSA-ключ ssh-dss

Question

ssh-keyscan не обнаруживает DSA-ключ ssh-dss

Я использую ssh-keyscan для получения открытых ключей для пары серверов SSH. Одно из моих устройств поддерживает только DSA / ssh-dss. ssh-keyscan с опцией "-t dsa" не может получить открытый ключ, в то время как сценарий Nmap ssh-hostkey фактически может его получить.

SSH-keyscan:

weberjoh@nb15-lx:~$ ssh-keyscan -t dsa ssg-mgmt
# ssg-mgmt:22 SSH-2.0-NetScreen

Nmap:

weberjoh@nb15-lx:~$ nmap --script ssh-hostkey ssg-mgmt

Starting Nmap 7.01 ( https://nmap.org ) at 2017-10-11 16:00 CEST
Nmap scan report for ssg-mgmt (192.168.120.3)
Host is up (0.0026s latency).
rDNS record for 192.168.120.3: ssg-mgmt.webernetz.net
Not shown: 998 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
| ssh-hostkey:
|_  1024 e7:5b:c9:a9:60:60:66:37:d6:90:bd:70:8f:76:e5:41 (DSA)
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 7.28 seconds

Как я могу использовать ssh-keyscan для отображения открытого ключа DSA?

2

ssh ssh-keys nmap dsa

Источник

Johannes Weber 11 окт '17 в 14:24

2 ответа

Другие вопросы по тегам ssh ssh-keys nmap dsa

Andrei Savin 11 окт '17 в 16:41 2017-10-11 16:41 · Answer 1 · 2017-10-11 16:41

Это может быть связано с тем, что новые версии OpenSSH не поддерживают DSA по умолчанию. На своем клиентском компьютере попробуйте добавить следующее в свой ~/.ssh/config:

PubkeyAcceptedKeyTypes=+ssh-dss

Также имейте в виду, что ключи DSA могут быть менее безопасными, поэтому следует по возможности заменить их на своих серверах.

MaZe 18 сен '18 в 04:57 2018-09-18 04:57 · Answer 2 · 2018-09-18 04:57

Вот обходной путь для ssh-keys, который не подчиняется ~/.ssh/config и не принимает никаких опций.

$ ssh -o UserKnownHostsFile=junk -o KexAlgorithms=+diffie-hellman-group1-sha1 192.168.1.2
The authenticity of host '192.168.1.2 (192.168.1.2)' can't be established.
RSA key fingerprint is SHA256:iCnx+DQCcb4rAfNEE71mDiFc+ej9X+XBzBd/5/ueDtE.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.2' (RSA) to the list of known hosts.
root@router:~# ^D
Connection to 192.168.1.2 closed.
$ cut -d' ' -f2- < junk > junk2
$ ssh-keygen -r 192.168.1.2 -f junk2
192.168.1.2 IN SSHFP 1 1 28.....17
192.168.1.2 IN SSHFP 1 2 882....ed1
$ rm -f junk junk2

а также

ssh -o UserKnownHostsFile=junk -o KexAlgorithms=+diffie-hellman-group1-sha1 -o HostKeyAlgorithms=ssh-dss 192.168.1.2

если вы хотите форсировать DSA вместо RSA.

И для ленивых среди нас

h=192.168.1.2; for t in ssh-rsa ssh-dss ssh-ed25519 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521; do ssh -o CheckHostIp=no -o StrictHostKeyChecking=no -o UserKnownHostsFile=junk -o KexAlgorithms=+diffie-hellman-group1-sha1 -o HostKeyAlgorithms="${t}" "${h}" true && cut -d' ' -f2- < junk > junk2 && ssh-keygen -r "${h}" -f junk2; rm -f junk junk2; done

который производит:

Warning: Permanently added '192.168.1.2' (RSA) to the list of known hosts.
192.168.1.2 IN SSHFP 1 1 28...17
192.168.1.2 IN SSHFP 1 2 882...ed1
Warning: Permanently added '192.168.1.2' (DSA) to the list of known hosts.
192.168.1.2 IN SSHFP 2 1 40..3c
192.168.1.2 IN SSHFP 2 2 26f...e6f
Unable to negotiate with 192.168.1.2 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss
...