Klien ssh bertanya kepada saya apakah sidik jari server baru tidak apa-apa. Sidik jari ini adalah sha256.
Server ssh dapat memberi tahu saya sidik jarinya
ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key
Namun ini dalam format md5.
Dokumentasi untuk ssh-keygen
mengatakan bahwa ini adalah perbaikan
ssh-keygen -l -E sha256 -f /etc/ssh/ssh_host_ecdsa_key
Namun -E
opsi ini sepertinya tidak tersedia di CentOS. Saya dapat memberikan kompensasi pada klien dengan
ssh -o FingerprintHash=md5 user@newserver
Namun praktik yang baik mengharuskan kami menghindari MD5, dan itu akan menyederhanakan otomatisasi dan alur kerja (pengujian di berbagai lingkungan / distribusi) jika saya bisa menangani ini secara seragam.
Bagaimana saya bisa mendapatkan sidik jari sha256 dari kunci ssh pada CentOS?
Jawaban:
Versi OpenSSH dikemas oleh CentOS adalah cara terlalu tua untuk fitur ini.
Alternatifnya adalah menggunakan
sha256sum
secara langsung, karena 'sidik jari' hanyalah hash dari kunci mentah:Hash MD5 dapat diperoleh dengan menggunakan:
Atau, Anda dapat melewati seluruh langkah 'sidik jari' dan 'konfirmasi manual', dan cukup salin kunci publik yang sebenarnya ke
~/.ssh/known_hosts
. (Jangan lupa untuk menambahkan alamat IP di depannya).Dengan begitu kuncinya akan diverifikasi sebelumnya, demikian dikatakan. Ini tampaknya menjadi metode yang mudah untuk diotomatisasi.
sumber