Question Existe-t-il un moyen d'accepter automatiquement les clés de l'hôte SSH, même lorsque les clés sont modifiées dans PuTTY?


Nous utilisons un logiciel qui va SSH à un tas de machines et fait quelque chose. Le problème est dans notre laboratoire de test, les machines virtuelles sont très souvent rééditées (détruites et recréées), donc le logiciel traitera la machine virtuelle comme nouvelle, ce qui sera le cas et échouera car l'authenticité de l'hôte ne peut pas sois établis. On m'a dit d'intégrer et d'accepter manuellement la clé de l'hôte, et après le logiciel sera heureux.

Faire cela avec quelques centaines de machines virtuelles n'est pas amusant.

Donc, je veux savoir s'il existe un outil de commande que je peux automatiser pour accepter la clé d'hôte pour PuTTY? Nous sommes dans un laboratoire fermé, donc je ne suis pas trop inquiet pour la sécurité.

Je sais qu'il existe des solutions pour l'environnement Linux, mais celui-ci est Windows.


4
2017-09-10 23:31


origine


Pourquoi ne pas créer la VM avec une clé déjà définie que vous avez acceptée? - Paul
Sans entrer dans la politique, la réponse courte est non. Je n'ai aucun contrôle sur la manière dont les vm sont créés. Mais merci d'avoir répondu. - Spock
HI @Spock - Je vois ci-dessous que le libellé de la question ne reflète plus ce que vous voulez faire. Cela se produit parfois lorsque nous essayons de clarifier la question, mais vous êtes les bienvenus et encouragés à la corriger afin de ne pas obtenir de réponses moins utiles. Donc, la chose ssh que vous utilisez utilise le même registre que putty pour lire les clés de l'hôte? Est-ce un logiciel interne adapté du mastic? - Paul
@Paul. Salut et oui, c'est certains en interne développer l'application que je ne connais pas le fonctionnement interne de celui-ci (et désolé je ne sais pas trop sur les certificats / clés SSH et comment le registre est utilisé). Tout ce que je sais, c'est après avoir accepté les clés / cert en utilisant putty et que l'application fonctionne pour ce serveur / vm. Et merci d'avoir répondu. - Spock
Hmm. Si vous vous connectez à un hôte avec pscp en mode batch, il affichera la clé de l'hôte et échouera. Il s'agirait alors d'exécuter ceci contre tous les hôtes en tant que travail par lots, obtenant les clés, puis les ajoutant au registre. Comment est votre script? - Paul


Réponses:


Sur leur site officiel, les développeurs ont clairement indiqué qu’une telle fonctionnalité ne serait pas disponible dans PuTTY (accent mis par moi):

Une option pour accepter automatiquement toutes les clés d'hôte SSH. Pour certaines raisons   beaucoup de gens semblent penser que ce serait une fonctionnalité très utile.   Je suis sûr que ce serait très pratique, mais au détriment de la sécurité!   L’intérêt des clés d’hôte est qu’elles sont la seule garantie   que votre connexion n'a pas été piratée par un attaquant actif   entre vous et le serveur, et que vos données ne sont pas déchiffrées   par l'attaquant et recrypté. Si vous souhaitez planifier un automatisé   travail par lots pour utiliser PSCP ou Plink, et l'invite de la clé d'hôte interactive est   en rendant cela difficile, ajoutez la clé d’hôte correcte au registre   de temps. (Mise à jour, le 09/09/2014: ou si le registre n'est pas disponible, vous   peut utiliser la nouvelle option -hostkey pour spécifier la bonne clé ou   empreinte digitale sur la ligne de commande.) Ainsi, vous obtenez toujours le   la commodité, mais sans perdre la sécurité. Nous n'accepterons pas   option de ligne de commande pour désactiver la vérification des clés d’hôte, quel que soit le nombre   les gens ont déjà fait le travail et nous envoient polis   patches de qualité de production.

Si vous avez des clés d’hôte disponibles dans le format commun «known_hosts», nous   avoir un script pour les convertir en un fichier Windows .REG qui peut être   installé à l'avance en double-cliquant.

La source: http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/accept-host-keys.html

Donc, malheureusement, PuTTY ne peut pas y parvenir sans interaction de l'utilisateur.


5
2017-09-11 07:29



Merci d'avoir répondu. En fait, ma question initiale n'était pas spécifiquement pour PuTTY, mais a été modifiée plusieurs fois par d'autres pour être ainsi. Il y a ce logiciel que nous utilisons, si le certificat n'est pas déjà accepté, il échouera, donc j'utilise PuTTY pour accepter manuellement le cert. Ce que je recherche, c’est un logiciel sur Windows capable de le faire. J'ai été google mais j'ai échoué. Alors j'ai pensé que peut-être quelqu'un a rencontré un problème similaire et avoir une solution. Je suis totalement conscient de la position du fabricant de PuTTY sur la sécurité. - Spock


@Paul ci-dessus a suggéré d'utiliser pscp. Ca marche super bien, c'est super simple et totalement scriptable:

 C:\> echo y | pscp.exe -l user -pw password -ls 192.168.0.1:/

5
2017-09-15 18:26





J'ai rencontré le même problème en écrivant un script powershell pour interagir avec Kitty afin de sauvegarder toutes nos configurations de commutateur. J'ai trouvé un article sur un forum différent d'un gars qui essayait d'interagir avec le programme de calculatrice de Microsoft. Mon programme attend essentiellement que la fenêtre de clé d'acceptation RSA s'ouvre, puis envoie la clé y. Voici le post que j'ai trouvé: Fournir une entrée aux applications avec PowerShell


-1
2018-04-06 17:00