Forum Linux.debian/ubuntu Comment vérifier une empreinte ssh?

Posté par (page perso) . Licence CC by-sa
Tags : aucun
0
22
août
2017

Bonjour,

On imagine un poste A, le client, et un poste B, le serveur.

J'ai une connexion actuelle sur le serveur et je souhaite m'y connecter par ssh avec le client A.
Lors de la première connexion, il me présente une empreinte et me demande de confirmer pour poursuivre.

Si j'utilise ssh-keyscan, je peux vérifier que les hash sont les mêmes.
Mais, ce qui est demandé, c'est une empreinte.

Comment puis-je vérifier cette empreinte?

Une solution et de copier les hash, et comme ça il n'y a plus de question… certes, mais je reste sur ma faim.

  • # Salut

    Posté par . Évalué à 5.

    Pourquoi vouloir comparer directement les clés alors que les empreintes sont faites pour ça ?

    Pour avoir l’empreinte d’une clé que tu as déjà :

    $ ssh-keygen -l -f <fichier clé>
    

    exemple :

    $ ssh-keygen -l -f <(echo 'ecdsa-sha2-nistp256 AAAAE2VjZHNhBhYoYTItbmlzdHAyNTYAAAAIbmlzdHAyHuuAAABBBP9JDVS9U+ecG3JQDMddn/7Bk5ZY4f5mdTF4x/d7jxWV9UZd9XCo1LZxMmnY04rgSjo65NbGlaYn+hVeCvGPYFk=')
    256 SHA256:F513BdgcRe0PNrmz9vqKCOt+22tjk5u9u6PmZaM7Bzg no comment (ECDSA)
    

    Peut-être que quelqu’un a une réponse à ta question mais d’après une rapide recherche ça n’a pas l’air possible (facilement), même en mettant -vvv la clé elle-même n’apparaît pas…

  • # Empreintes identiques

    Posté par (page perso) . Évalué à 5.

    moi@client $ ssh -v serveur
    OpenSSH_7.5p1 Debian-5, OpenSSL 1.0.2l  25 May 2017
    (...)
    debug1: Server host key: ecdsa-sha2-nistp256 SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

    qui va correspondre à la clé visible côté serveur

    root@serveur # ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key
    256 SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

    (suivant l'algo, ça va être ssh_host_dsa_key ou _ecdsa_key ou _ed25519_key ou _rsa_key)

    Et sinon y a la méthode de l'enregistrement SSHFP dans le DNS (ssh-keygen -r serveur dans le DNS, puis dig -t SSHFP serveur pour tester et ssh -o "VerifyHostKeyDNS ask" serveur pour essayer).

  • # Mise à jour

    Posté par (page perso) . Évalué à 2.

    Merci à tous les deux.

    J'ai cherché à voir et comprendre pourquoi ça ne correspondait pas.
    Vu que le format affiché avant était 256 xx:xx:xx:xx… alors que sur le serveur c'est une suite de caractères, je me suis dit que si je mettais à jour le client ssh, peut être que ça règlerait le problème.

    Voilà, j'ai mis à jour le client ssh sur le serveur, et j'ai maintenant des empreintes qui correspondent bien, avec l'une ou l'autre des méthodes que vous m'avez données.

    Merci et bonne soirée

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.