Provided by: manpages-de_4.26.0-1_all bug

BEZEICHNUNG

       ssh-keyscan — Einsammeln der öffentlichen SSH-Schlüssel von Servern

ÜBERSICHT

       ssh-keyscan  [-46cDHqv]  [-f  Datei]  [-O  Option]  [-p Port] [-T Zeitüberschreitung] [-t Typ] [Rechner |
       Adressliste Namensliste]

BESCHREIBUNG

       ssh-keyscan ist ein Hilfswerkzeug für das Einsammeln öffentlicher SSH-Rechnerschlüssel  von  einer  Reihe
       von  Rechnern.  Es  wurde zur Hilfe beim Aufbauen und Überprüfen von ssh_known_hosts -Dateien entwickelt,
       deren Format in sshd(8) dokumentiert ist. ssh-keyscan stellt eine minimale Schnittstelle bereit, die  zum
       Einsatz in Shell- oder Perl-Skripten geeignet ist.

       ssh-keyscan  verwendet  nicht  blockierendes  Socket-E/A,  um  so  viele  Rechner wie möglich parallel zu
       kontaktieren. Es ist daher sehr effizient. Die Schlüssel einer Domain von 1.000 Rechnern können innerhalb
       von einigen zehn Sekunden eingesammelt werden, selbst wenn einige dieser Rechner ausgeschaltet sind  oder
       sshd(8) nicht ausführen. Zum Scannen wird kein Anmeldezugriff auf die gescannten Maschinen benötigt. Auch
       benötigt der Scanning-Prozess keinerlei Verschlüsselung.

       Die  Rechner,  nach  denen  gesucht  wird,  können  durch  den  Rechnernamen,  die Adresse oder den CIDR-
       Netzwerkbereich angegeben werden (z.B. 192.168.16/28). Falls  ein  Netzwerkbereich  angegeben  ist,  dann
       werden alle Adressen in diesem Bereich durchsucht.

       Folgende Optionen stehen zur Verfügung:

       -4      Erzwingt, dass ssh-keyscan nur IPv4-Adressen verwendet.

       -6      Erzwingt, dass ssh-keyscan nur IPv6-Adressen verwendet.

       -c      Erbittet Zertifikate statt einfacher Schlüssel vom Ziel-Rechner.

       -D      Gibt  gefundene Schlüssel als SSHFP-DNS-Datensätze aus. Die Vorgabe ist die Ausgabe der Schlüssel
               in einem Format, das für die Datei known_hosts von ssh(1) geeignet ist.

       -f Datei
               Liest Rechner oder “Adressliste-Namensliste” -Paare aus der Datei,  eine  pro  Zeile.  Falls  »-«
               anstatt  eines  Dateinamens  bereitgestellt  ist,  dann  wird ssh-keyscan aus der Standardeingabe
               lesen. Aus einer Datei gelesene Namen müssen mit einer zu suchenden Adresse,  einem  Rechnernamen
               oder  einem  zu  durchsuchenden CIDR-Netzwerkbereich beginnen. Auf Adressen und Rechnernamen darf
               optional ein Komma-getrennter Name oder Adressalias folgen, der  in  die  Ausgabe  kopiert  wird.
               Beispiel:

               192.168.11.0/24
               10.20.1.1
               happy.example.org
               10.0.0.1,sad.example.org

       -H      Hasht alle Rechnernamen und Adressen in der Ausgabe. Gehashte Namen können ganz normal von ssh(1)
               und sshd(8) verwandt werden, sie geben aber keine Informationen preis, falls der Inhalt der Datei
               offengelegt werden sollte.

       -O Option
               Gibt eine Schlüssel/Wert-Option an. Derzeit wird nur eine einzige Option unterstützt:

               hashalg=Algorithmus
                       Wählt  einen beim Ausgeben von SSHFP-Datensätzen mittels des Schalters -D zu verwendenden
                       Hash-Algorithmus aus. Gültige Algorithmen sind »sha1« und »sha256«. Standardmäßig  werden
                       beide ausgegeben.

       -p Port
               Verbindet sich zu Port auf der fernen Maschine.

       -q      Stiller Modus: Keine Ausgabe von Serverrechnernamen und Bannern in Kommentaren.

       -T Zeitüberschreitung
               Setzt  die  Zeitüberschreitung (in Sekunden) für Verbindungsversuche. Falls der Verbindungsaufbau
               mehr als diese Zeitspanne in Anspruch nimmt oder seit  dieser  Zeitspanne  nichts  mehr  von  dem
               Rechner  empfangen  wurde,  wird  die  Verbindung geschlossen und der Rechner als nicht verfügbar
               betrachtet. Der Standardwert ist 5 Sekunden.

       -t Typ  Gibt den Typ des vom gescannten Rechner abzuholenden Schlüssels  an.  Die  möglichen  Werte  sind
               “ecdsa”, “ed25519”, “ecdsa-sk”, “ed25519-sk” und “rsa”. Es können mehrere Werte angegeben werden,
               indem  diese  durch  Kommata  abgetrennt werden. Die Vorgabe ist das Abholen von allen der obigen
               Schlüsseln.

       -v      Ausführlicher Modus: Ausgabe von Fehlersuchnachrichten über den Fortschritt.

       Falls mittels ssh-keyscan eine Datei »ssh_known_hosts« erstellt wird, ohne die Schlüssel  zu  überprüfen,
       sind  die  Benutzer durch Man-In-The-Middle -Angriffe verwundbar. Wenn das Sicherheitsmodell andererseits
       ein solches Risiko erlaubt, kann ssh-keyscan  nach  dem  Anlegen  der  Datei  »ssh_known_hosts«  bei  der
       Erkennung manipulierter Schlüsseldateien oder seit Erstellung der Datei neu begonnenen Man-In-The-Middle-
       Angriffen helfen.

DATEIEN

       /etc/ssh/ssh_known_hosts

BEISPIELE

       Gibt den RSA-Rechnerschlüssel für Maschine Rechnername aus:

             $ ssh-keyscan -t rsa Rechnername

       Einen Netzwerkbereich durchsuchen und alle unterstützten Schlüsseltypen ausgeben:

             $ ssh-keyscan 192.168.0.64/25

       Findet  alle Rechner aus der Datei ssh_hosts, die über neuere oder geänderte Schlüssel gegenüber denen in
       der sortierten Datei ssh_known_hosts verfügen:

             $ ssh-keyscan -t rsa,ecdsa,ed25519 -f ssh_hosts | \
                     sort -u - ssh_known_hosts | diff ssh_known_hosts -

SIEHE AUCH

       ssh(1), sshd(8) Der Einsatz von DNS, um  Schlüsselfingerabdrücke  der  Sicheren  Shell  (SSH)  sicher  zu
       veröffentlichen, RFC 4255, 2006.

AUTOREN

       David    Mazieres    <dm@lcs.mit.edu>    schrieb    die   ursprüngliche   Version   und   Wayne   Davison
       <wayned@users.sourceforge.net> fügte die Unterstützung für Protokollversion 2 hinzu.

ÜBERSETZUNG

       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist  Freie  Dokumentation;  lesen  Sie  die  GNU  General  Public  License  Version  3:
       https://www.gnu.org/licenses/gpl-3.0.html  oder  neuer bezüglich der Copyright-Bedingungen. Es wird KEINE
       HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte  eine  E-Mail  an  die
       Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org .

Debian                                           17. Juni, 2024                                   SSH-KEYSCAN(1)