日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.4-RELEASE-K, 13.0-RELEASE-K から 13.3-RELEASE-K, 14.0-RELEASE-K から 14.1-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
SSH-KEYSCAN(1) FreeBSD 一般コマンドマニュアル SSH-KEYSCAN(1)
名称
ssh-keyscan -- サーバから SSH 公開鍵を収集する
書式
ssh-keyscan [-46cDHv] [-f file] [-O option] [-p port] [-T timeout]
[-t type] [host | addrlist namelist]
解説
ssh-keyscan は、多くのホストの SSH ホスト公開鍵を収集するためのユーティリ
ティです。それは、ssh_known_hosts ファイルを構築し、検証することを手助け
するように設計され、その形式は、sshd(8) に文書化されています。ssh-keyscan
は、シェルと perl スクリプトでの使用に適している最小のインタフェースを提
供しています。
ssh-keyscan は、並列にできるだけ多くのホストと通信するためにノンブロッキ
ング (non-blocking) ソケット I/O を使用するので、それは、非常に効率的で
す。いくつかのホストがダウンしているか、または sshd(8) を実行していないと
きでさえ、1,000 のホストのドメインからの鍵を、数十秒で収集することができ
ます。スキャンのために、スキャンされているマシンへのログインアクセスを必
要としませんし、スキャンしているプロセスは、あらゆる暗号化を必要としませ
ん。
スキャンするホストは、ホスト名、アドレス、または CIDR ネットワーク範囲
(例えば、192.168.16/28) によって指定されます。ネットワーク範囲が指定され
ているなら、その範囲内のすべてのアドレスがスキャンされます。
オプションは、次の通りです:
-4 ssh-keyscan は、強制的に IPv4 アドレスのみを使用します。
-6 ssh-keyscan は、強制的に IPv6 アドレスのみを使用します。
-c 平易な鍵の代わりにターゲットホストから証明書を要求します。
-D SSHFP DNS レコードとして見つけられた鍵を印刷 (表示) します。デ
フォルトは、ssh(1) known_hosts ファイルとして使用可能な形式で鍵を
印刷 (表示) することです。
-f file
この file からホストまたは ``addrlist namelist'' のペアを 1 行ご
とに 1 つ読み込みます。`-' がファイル名の代わりに供給されるなら、
ssh-keyscan は、標準入力から読み込みます。ファイルから読み込まれ
る名前は、スキャンされるアドレス、ホスト名、または CIDR ネット
ワーク範囲で始まらなければなりません。アドレスとホスト名は、オプ
ションで、出力にコピーされるコンマで区切られた名前またはアドレス
のエイリアスが続きます。例えば:
192.168.11.0/24
10.20.1.1
happy.example.org
10.0.0.1,sad.example.org
-H 出力のホスト名とアドレスをすべてハッシュします。ハッシュされた名
前は、通常 ssh(1) と sshd(8) によって使用されますが、ファイルの内
容が開示されるならば、それらは、識別する情報を明らかにしません。
-O option
キー/値オプションを指定します。現在、単一ののオプションのみがサ
ポートされています:
hashalg=algorithm
-D フラグを使用して SSHFP レコードを印刷 (表示) すると
き、使用するハッシュアルゴリズムを選択します。有効なアル
ゴリズムは、``sha1'' と ``sha256'' です。デフォルトは、両
方を印刷 (表示) します。
-p port
リモートホストで port に接続します。
-T timeout
接続の試みのためのタイムアウトを設定します。ホストへの接続が開始
されてから、または最後にホストから何かが読み込まれてから、timeout
秒が経過しているなら、接続は、クローズされ、問題のホストは、利用
不可能とみなされます。デフォルトは、5 秒です。
-t type
スキャンされたホストから取り出される鍵のタイプを指定します。指定
できる値は、``dsa'', ``ecdsa'', ``ed25519'', ``ecdsa-sk'',
``ed25519-sk'' または ``rsa'' です。複数の値は、コンマでそれらを
区切ることによって指定されます。デフォルトは、``rsa'', ``ecdsa'',
``ed25519'', ``ecdsa-sk'' と ``ed25519-sk'' 鍵を取って来ることで
す。
-v 冗長なモード: 進行に関するデバッグのメッセージを印刷 (表示) しま
す。
ssh_known_hosts ファイルが鍵を検証せずに ssh-keyscan を使用して構築される
なら、ユーザは、man in the middle (介入者) 攻撃を受けやすくなります。他方
では、セキュリティモデルがそのような危険を放置するなら、ssh-keyscan は、
ssh_known_hosts ファイルが作成された後に、開始された不正に変更された鍵
ファイルまたは仲介者 (man in the middle) 攻撃の検出を助けることができま
す。
関連ファイル
/etc/ssh/ssh_known_hosts
使用例
マシン hostname のための RSA ホスト鍵を印刷 (表示) します:
$ ssh-keyscan -t rsa hostname
ネットワーク範囲を検索し、サポートされているすべての鍵のタイプを印刷 (表
示) します:
$ ssh-keyscan 192.168.0.64/25
ソートされたファイル ssh_known_hosts に新しいホストまたはホストと異なった
鍵がある、ファイル ssh_hosts からすべてのホストを見つけるためには、次の通
りです:
$ ssh-keyscan -t rsa,dsa,ecdsa,ed25519 -f ssh_hosts | \
sort -u - ssh_known_hosts | diff ssh_known_hosts -
関連項目
ssh(1), sshd(8)
Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints, RFC
4255, 2006.
作者
David Mazieres <dm@lcs.mit.edu> は、最初のバージョンを書き、Wayne Davison
<wayned@users.sourceforge.net> は、プロトコルバージョン 2 のためのサポー
トを追加しました。
FreeBSD 13.2 February 10, 2023 FreeBSD 13.2