.\" -*- coding: UTF-8 -*- .\" $OpenBSD: ssh-keyscan.1,v 1.45 2019/11/30 07:07:59 jmc Exp $ .\" .\" Copyright 1995, 1996 by David Mazieres . .\" .\" Modification and redistribution in source and binary forms is .\" permitted provided that due credit is given to the author and the .\" OpenBSD project by leaving this copyright notice intact. .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .Dd $Mdocdate: 30. November 2019 $ .Dt SSH-KEYSCAN 1 .Os .Sh BEZEICHNUNG .Nm ssh-keyscan .Nd Einsammeln der öffentlichen SSH-Schlüssel von Servern .Sh ÜBERSICHT .Nm ssh-keyscan .Op Fl 46cDHv .Op Fl f Ar Datei .Op Fl p Ar Port .Op Fl T Ar Zeitüberschreitung .Op Fl t Ar Typ .Op Ar Rechner | Adressliste Namensliste .Sh BESCHREIBUNG .Nm ist ein Hilfswerkzeug für das Einsammeln öffentlicher SSH-Rechnerschlüssel von einer Reihe von Rechnern. Es wurde zur Hilfe beim Aufbauen und Überprüfen von .Pa ssh_known_hosts -Dateien entwickelt, deren Format in .Xr sshd 8 dokumentiert ist. .Nm stellt eine minimale Schnittstelle bereit, die zum Einsatz in Shell- oder Perl-Skripten geeignet ist. .Pp .Nm verwendet nicht blockierendes Socket-E/A, um so viele Rechner wie möglich parallel zu kontaktieren. Es ist daher sehr effizient. Die Schlüssel einer Domain von 1.000 Rechnern können innerhalb von einigen zehn Sekunden eingesammelt werden, selbst wenn einige dieser Rechner ausgeschaltet sind oder .Xr sshd 8 nicht ausführen. Zum Scannen wird kein Anmeldezugriff auf die gescannten Maschinen benötigt. Auch benötigt der Scanning-Prozess keinerlei Verschlüsselung. .Pp Folgende Optionen stehen zur Verfügung: .Bl -tag -width Ds .It Fl 4 Erzwingt, dass .Nm nur IPv4-Adressen verwendet. .It Fl 6 Erzwingt, dass .Nm nur IPv6-Adressen verwendet. .It Fl c Erbittet Zertifikate statt einfacher Schlüssel vom Ziel-Rechner. .It Fl D Gibt gefundene Schlüssel als SSHFP-DNS-Datensätze aus. Die Vorgabe ist die Ausgabe der Schlüssel in einem Format, das für die Datei .Pa known_hosts von .Xr ssh 1 geeignet ist. .It Fl f Ar Datei Liest Rechner oder .Dq Adressliste-Namensliste -Paare aus der .Ar Datei , eine pro Zeile. Falls .Sq - anstatt eines Dateinamens bereitgestellt ist, dann wird .Nm aus der Standardeingabe lesen. Die Eingabe wird in folgendem Format erwartet: .Bd -literal 1.2.3.4,1.2.4.4 Name.meine.Domain,Name,n.meine.Domain,n,1.2.3.4,1.2.4.4 .Ed .It Fl H Hasht alle Rechnernamen und Adressen in der Ausgabe. Gehashte Namen können ganz normal von .Xr ssh 1 und .Xr sshd 8 verwandt werden, sie geben aber keine Informationen preis, falls der Inhalt der Datei offengelegt werden sollte. .It Fl p Ar Port Verbindet sich zu .Ar Port auf der fernen Maschine. .It Fl T Ar Zeitüberschreitung Setzt die .Ar Zeitüberschreitung (in Sekunden) für Verbindungsversuche. Falls der Verbindungsaufbau mehr als diese Zeitspanne in Anspruch nimmt oder seit dieser Zeitspanne nichts mehr von dem Rechner empfangen wurde, wird die Verbindung geschlossen und der Rechner als nicht verfügbar betrachtet. Der Standardwert ist 5 Sekunden. .It Fl t Ar Typ Gibt den Typ des vom gescannten Rechner abzuholenden Schlüssels an. Die möglichen Werte sind .Dq dsa , .Dq ecdsa , .Dq ed25519 und .Dq rsa . Es können mehrere Werte angegeben werden, indem diese durch Kommata abgetrennt werden. Die Vorgabe ist das Abholen von .Dq rsa -, .Dq ecdsa - und .Dq ed25519 -Schlüsseln. .It Fl v Ausführlicher Modus: Ausgabe von Fehlersuchnachrichten über den Fortschritt. .El .Pp Falls mittels .Nm eine Datei »ssh_known_hosts« erstellt wird, ohne die Schlüssel zu überprüfen, sind die Benutzer durch .Em Man-In-The-Middle -Angriffe verwundbar. Wenn das Sicherheitsmodell andererseits ein solches Risiko erlaubt, kann .Nm nach dem Anlegen der Datei »ssh_known_hosts« bei der Erkennung manipulierter Schlüsseldateien oder seit Erstellung der Datei neu begonnenen Man-In-The-Middle-Angriffen helfen. .Sh DATEIEN .Pa /etc/ssh/ssh_known_hosts .Sh BEISPIELE Gibt den RSA-Rechnerschlüssel für Maschine .Ar Rechnername aus: .Pp .Dl $ ssh-keyscan -t rsa Rechnername .Pp Findet alle Rechner aus der Datei .Pa ssh_hosts , die über neuere oder geänderte Schlüssel gegenüber denen in der sortierten Datei .Pa ssh_known_hosts verfügen: .Bd -literal -offset indent $ ssh-keyscan -t rsa,dsa,ecdsa,ed25519 -f ssh_hosts | \e sort -u - ssh_known_hosts | diff ssh_known_hosts - .Ed .Sh SIEHE AUCH .Xr ssh 1 , .Xr sshd 8 .Rs .%D 2006 .%R RFC 4255 .%T Der Einsatz von DNS, um Schlüsselfingerabdrücke der Sicheren Shell (SSH) sicher zu veröffentlichen .Re .Sh AUTOREN .An -nosplit .An David Mazieres Aq Mt dm@lcs.mit.edu schrieb die ursprüngliche Version und .An Wayne Davison Aq Mt wayned@users.sourceforge.net fügte die Unterstützung für Protokollversion 2 hinzu. .SH ÜBERSETZUNG Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Übersetzung ist Freie Dokumentation; lesen Sie die .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 .UE oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die .MT debian-l10n-german@\:lists.\:debian.\:org Mailingliste der Übersetzer .ME .