Oblicz odcisk palca klucza RSA

Muszę przeprowadzić audyt klucza SSH dla GitHub, ale nie jestem pewien, jak znaleźć mój odcisk palca klucza RSA. Pierwotnie postępowałem zgodnie z przewodnikiem, aby wygenerować klucz SSH w systemie Linux.

Jakie polecenie muszę wprowadzić, aby znaleźć mój bieżący odcisk klucza RSA?

Uruchom następującą komendę, aby pobrać odcisk palca SHA256 klucza SSH ( -loznacza „listę” zamiast utworzyć nowy klucz, -foznacza „nazwę pliku”):

$ ssh-keygen -lf /path/to/ssh/key

Na przykład na moim komputerze uruchomiłem polecenie (używając klucza publicznego RSA):

$ ssh-keygen -lf ~/.ssh/id_rsa.pub
2048 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff /Users/username/.ssh/id_rsa.pub (RSA)

Aby uzyskać format linii papilarnych GitHub (MD5) z nowszymi wersjami ssh-keygen, uruchom:

$ ssh-keygen -E md5 -lf <fileName>

Informacje o bonusie:

ssh-keygen -lfdziała również na known_hostsi authorized_keyspliki.

Aby znaleźć większość kluczy publicznych w systemach Linux / Unix / OS X, uruchom

$ find /etc/ssh /home/*/.ssh /Users/*/.ssh -name '*.pub' -o -name 'authorized_keys' -o -name 'known_hosts'

(Jeśli chcesz zajrzeć do homedirów innych użytkowników, musisz być rootem lub sudo.)

ssh-add -lJest bardzo podobny, ale wymienia odciski kluczy dodanych do środka. (Użytkownicy OS X zauważają, że magiczny SSH bez hasła za pomocą pęku kluczy nie jest tym samym, co używanie ssh-agent.)

Nowsze polecenia SSH będą wyświetlać odciski palców jako SHA256 klucz .

Na przykład:

ssh-keygen -lf ~/.ssh/id_dsa.pub 
1024 SHA256:19n6fkdz0qqmowiBy6XEaA87EuG/jgWUr44ZSBhJl6Y (DSA)

Jeśli chcesz porównać go ze starym odciskiem palca, musisz również określić, aby użyć funkcji mieszania odcisków palców MD5 .

ssh-keygen -E md5 -lf ~/.ssh/id_dsa.pub
2048 MD5:4d:5b:97:19:8c:fe:06:f0:29:e7:f5:96:77:cb:3c:71 (DSA)

Także dostępny: -E sha1

Aktualizacja ... TAK ... tak ... wiem ... Nie należy już używać kluczy DSA do SSH, zamiast tego należy użyć starszego klucza RSA lub nowszego klucza ekliptyki.

Do tych „administratorów”, którzy wciąż edytują polecenie, którego użyłem powyżej. Przestań go zmieniać! Sprawiasz, że polecenie i wynikowy wynik są niepoprawne!

Aby zobaczyć swój klucz na Ubuntu, po prostu wprowadź następujące polecenie na terminalu:

ssh-add -l

Otrzymasz takie wyjście: 2568 0j:20:4b:88:a7:9t:wd:19:f0:d4:4y:9g:27:cf:97:23twoja nazwa @ ubuntu (RSA)

Jeśli jednak pojawi się błąd, taki jak; Could not open a connection to your authentication agent.
Oznacza to, że ssh-agent nie działa. Możesz go uruchomić / uruchomić za pomocą: ssh-agent bash(dzięki @Richard w komentarzach), a następnie uruchomić ponowniessh-add -l

Para kluczy (klucze prywatny i publiczny) będzie miała ten sam odcisk palca; więc w przypadku, gdy nie pamiętasz, który klucz prywatny należy do którego klucza publicznego, znajdź dopasowanie, porównując ich odciski palców.

Najczęściej głosowana odpowiedź Marvina Vinto stanowi odcisk palca publicznego pliku klucza SSH. Można również zapytać o odcisk palca odpowiedniego prywatnego klucza SSH, ale wymaga on dłuższej serii kroków, jak pokazano poniżej.

1. Załaduj agenta SSH, jeśli jeszcze tego nie zrobiłeś. Najłatwiej jest wywołać

   $ ssh-agent bash
   

   lub

   $ ssh-agent tcsh
   

   (lub inną używaną powłokę).

2. Załaduj klucz prywatny, który chcesz przetestować:

   $ ssh-add /path/to/your-ssh-private-key
   

   Zostaniesz poproszony o wprowadzenie hasła, jeśli klucz jest chroniony hasłem.

3. Teraz, jak powiedzieli inni, pisz

   $ ssh-add -l
   1024 fd:bc:8a:81:58:8f:2c:78:86:a2:cf:02:40:7d:9d:3c you@yourhost (DSA)
   

   fd:bc:...to odcisk palca, którego szukasz. Jeśli jest wiele kluczy, wydrukowanych zostanie wiele wierszy, a ostatni wiersz zawiera odcisk palca ostatnio załadowanego klucza.

4. Jeśli chcesz zatrzymać agenta (tj. Jeśli wywołałeś krok 1 powyżej), po prostu wpisz `exit 'na powłoce, a wrócisz do powłoki przed załadowaniem agenta ssh.

Nie dodam nowych informacji, ale mam nadzieję, że ta odpowiedź jest jasna dla użytkowników na wszystkich poziomach.

Najszybszy sposób, jeśli klucze znajdują się w agencie SSH:

$ ssh-add -L | ssh-keygen -E md5 -lf /dev/stdin

Każdy klucz w agencie zostanie wydrukowany jako:

4096 MD5:8f:c9:dc:40:ec:9e:dc:65:74:f7:20:c1:29:d1:e8:5a /Users/cmcginty/.ssh/id_rsa (RSA)

Odtwarzam tutaj treść z forów AWS , ponieważ uznałem ją za przydatną w moim przypadku użycia - chciałem sprawdzić, który z moich kluczy pasuje do tych, które zaimportowałem do AWS

openssl pkey -in ~/.ssh/ec2/primary.pem -pubout -outform DER | openssl md5 -c

Gdzie: - primary.pemjest kluczem prywatnym do sprawdzenia

$ ssh-add -l 

działa również w systemie Mac OS X 10.8 (Mountain Lion) - 10.10 (Yosemite).

Obsługuje również opcję -Eokreślenia formatu linii papilarnych, więc w przypadku, gdy potrzebny jest MD5 (jest często używany, np. Przez GitHub), po prostu dodaj -E md5do polecenia.

W systemie Windows, jeśli korzystasz z PuTTY / Pageant, odcisk palca jest wyświetlany po załadowaniu klucza PuTTY (.ppk) do Pageant. Jest to przydatne, jeśli zapomnisz, którego używasz.

To jest funkcja powłoki, której używam, aby uzyskać odcisk palca klucza SSH do tworzenia kropelek DigitalOcean :

fingerprint() {
    pubkeypath="$1"
    ssh-keygen -E md5 -lf "$pubkeypath" | awk '{ print $2 }' | cut -c 5-
}

Umieść go w swoim ~/.bashrcźródle, a następnie otrzymasz odcisk palca w następujący sposób:

$ fingerprint ~/.ssh/id_rsa.pub
d2:47:0a:87:30:a0:c0:df:6b:42:19:55:b4:f3:09:b9

Jeśli Twój agent SSH jest uruchomiony, to znaczy, że tak

ssh-add -l

aby wyświetlić listę odcisków palców RSA wszystkich tożsamości, lub -L klucze publiczne.

Jeśli agent nie działa, spróbuj:

ssh-agent sh -c 'ssh-add; ssh-add -l'

A dla twoich kluczy publicznych:

ssh-agent sh -c 'ssh-add; ssh-add -L'

Jeśli pojawi się komunikat: „ Agent nie ma tożsamości. ”, najpierw musisz wygenerować klucz RSA ssh-keygen.

Czasami możesz mieć kilka kluczy w swoim ~/.sshkatalogu i nie wiem, który pasuje do odcisku palca pokazanego przez GitHub / Gitlab / etc.

Oto jak wyświetlić nazwy plików kluczy i odciski palców MD5 wszystkich kluczy w ~/.sshkatalogu:

cd ~/.ssh
find . -type f -exec printf "\n{}\n" \; -exec ssh-keygen -E md5 -lf {} \;

(Aby poznać znaczenie parametrów, zapoznaj się z odpowiedzią na temat findpolecenia .

Pamiętaj, że prywatne / publiczne pliki należące do jednego klucza mają ten sam odcisk palca, więc zobaczysz duplikaty.

Google Compute Engine pokazuje odcisk palca klucza hosta SSH na wyjściu szeregowym instancji Linuksa. Interfejs API może pobrać te dane z GCE i nie trzeba logować się do instancji.

Nie znalazłem go nigdzie indziej niż z wyjścia szeregowego. Myślę, że odcisk palca powinien znajdować się w bardziej przyjaznym dla programisty miejscu.

Wydaje się jednak, że zależy to od rodzaju instancji. Korzystam z instancji Debian 7 (Wheezy) f1-micro.

Aby sprawdzić zdalny serwer SSH przed pierwszym połączeniem, możesz zajrzeć na stronę www.server-stats.net/ssh/ aby zobaczyć wszystkie klucze SHH dla serwera, a także od kiedy klucz jest znany.

To nie jest jak certyfikat SSL, ale zdecydowanie należy to zrobić przed pierwszym połączeniem z dowolnym serwerem SSH.

W Fedorze robię [locate ~ / .ssh], co mówi mi, że klucze to @

/root/.ssh
/root/.ssh/authorized_keys