Quack1 : Obtenir le fingerprint SSH de son serveur
lundi 8 juillet 2013 à 20:36Pour faire suite à mon article de la semaine dernière sur le crawling récursif d'un site Web avec wget, je note ici la commande permettant de récupérer le fingerprint d'un serveur ssh.
Pour ceux qui voudraient plus d'infos sur SSH, le fingerprinting et le fingerprinting appliqué à SSH, j'ai fait un petit catch-up plus bas dans l'article ;-)
TL;DR; : La commande en question :
# Pour lister les clés publiques du serveur : ls /etc/ssh/*key*.pub # Pour obtenir le fingerprint d'une clé : ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub
Détails sur ssh, fingerprint et co...
SSH est le protocole le plus utilisé permettant de se connecter à distance de façon sécurisée sur une machine Unix. D'ailleurs SSH signifie Secure SHell. L'implémentation d'SSH la plus utilisée à ce jour est OpenSSH, présente par défaut sur tous les bons GNU/Linux, ou au moins dans les dépôts officiels des distributions.
Un fingerprint est l'empreinte d'un fichier. En somme, c'est une valeur (généralement une chapine de caractères en hexadécimal) qui permet d'identifier de façon unique le fichier. 2 fichier différents auront 2 empreintes différentes. Dans la pratique, ces empreintes sont calculées avec des mécanismes cryptographiques appelés fonctions de hachage, qui vont "hacher" un fichier pour obtenir son empreinte unique.
SSH fonctionne avec des mécanismes de chiffrement à clés publiques. Quand on se connecte, on récupère la clé publique du serveur pour pouvoir chiffrer les communications (en réalité, on envoie au début de l'échange une clé symétrique, chiffrée avec les clés asymétriques. Le chiffrement symétrique étant beaucoup plus rapide que l'asymétrique). Afin de vérifier qu'on dialogue avec le bon serveur SSH, il est important de vérifier l'empreinte de la clé publique reçue pour voir si on ne s'est pas trompé de serveur (un serveur différent aura des clés différentes, qui auront elles-même des fingerprint différents). Le client OpenSSH fera ça tout seul et vous demandera de vérifier l'empreinte de la clé publique reçue en cas de doute.
Original post of Quack1.Votez pour ce billet sur Planet Libre.
Articles similaires
- theClimber : Monitorer les hôtes Linux (Debian) distant avec le serveur NRPE de Nagios (18/11/2009)
- theClimber : Trics & Tips : configurer son client ssh (17/06/2009)
- Planet Libre : Utiliser de l’authentification forte pour son serveur SSH (31/08/2011)
- fredg : Sécuriser son serveur kimsufi FreeBSD en dix minutes (08/03/2012)
- Linalis : Securiser le reboot d'un serveur Distant en SSH (29/07/2009)