考慮事項

Question 1

の目的はのssh-keygen -R使用を避けることではなくsed、例えばがsed見つからないハッシュ化されたホストを削除することです。ssh-keygen(1):

-R hostname

hostnameファイルに属するすべてのキーを削除しますknown_hosts。このオプションは、ハッシュされたホストを削除する場合に便利です (-H上記のオプションを参照)。

-H

ファイルをハッシュしますknown_hosts。これにより、指定されたファイル内のすべてのホスト名とアドレスがハッシュ表現に置き換えられます。元のコンテンツは、サフィックス付きのファイルに移動されます。これらのハッシュは通常、および.oldで使用できますが、ファイルの内容が公開された場合でも、識別情報は公開されません。このオプションは、既存のハッシュされたホスト名を変更しないため、ハッシュされた名前とハッシュされていない名前が混在するファイルで安全に使用できます。sshsshd

考慮事項

衝突を避ける

他の鍵を削除しないようにするには、Base64でエンコードされた完全な公開鍵を使用するのが最善です。たとえば、ヘッダ同じタイプのキーがすべて削除されることになります。

ベース64	アスキー	参照
`AAAAE2VjZHNhLXNoYTItbmlzdHAyNTY` `AAAAIbmlzdHAyNTYAAABBB`	`....ecdsa-sha2-nistp256` `....nistp256...A`	RFC 5656、3.1
`AAAAC3NzaC1lZDI1NTE5AAAAIFKy`	`....ssh-ed25519... R²`	RFC 8709、4
`AAAAB3NzaC1yc2EAAAADAQABAAABAQ`	`...ssh-rsa...........`	RFC 4253、6.6

`sed`Base64に合わせて調整する

Base64 でエンコードされた公開鍵には文字が含まれていますA-Za-z0-9+/=。例/で使用されているが含まれている可能性があるためsed、のような別の文字を使用する必要があります:。

実例

例:

はAAAA+OLD/KEY=、満杯古い公開鍵。
はAAAA+NEW/KEY=、満杯新しい公開鍵。

同じキーを持つすべてのホストを削除します

完全な古いキーを使用して、それを含むすべての行を削除します。

sed -i ':AAAA+OLD/KEY=:d' ~/.ssh/known_hosts

古い鍵を新しい鍵に交換する

完全なキー (古いキーと新しいキー) を使用して、古いキーを含むすべての行を置き換えます。

sed -i 's:AAAA+OLD/KEY=:AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

キータイプも変更された場合は、それを含める必要があります。例:

sed -i 's:ssh-rsa AAAA+OLD/KEY=:ecdsa-sha2-nistp256 AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

ホスト名またはIPのキーを削除します

これは、を使用する唯一のユースケースですssh-keygen。

ssh-keygen -R example.com

ssh-keygen -R 192.0.2.1

Answer

の目的はのssh-keygen -R使用を避けることではなくsed、例えばがsed見つからないハッシュ化されたホストを削除することです。ssh-keygen(1):

-R hostname

hostnameファイルに属するすべてのキーを削除しますknown_hosts。このオプションは、ハッシュされたホストを削除する場合に便利です (-H上記のオプションを参照)。

-H

ファイルをハッシュしますknown_hosts。これにより、指定されたファイル内のすべてのホスト名とアドレスがハッシュ表現に置き換えられます。元のコンテンツは、サフィックス付きのファイルに移動されます。これらのハッシュは通常、および.oldで使用できますが、ファイルの内容が公開された場合でも、識別情報は公開されません。このオプションは、既存のハッシュされたホスト名を変更しないため、ハッシュされた名前とハッシュされていない名前が混在するファイルで安全に使用できます。sshsshd

考慮事項

衝突を避ける

他の鍵を削除しないようにするには、Base64でエンコードされた完全な公開鍵を使用するのが最善です。たとえば、ヘッダ同じタイプのキーがすべて削除されることになります。

ベース64	アスキー	参照
`AAAAE2VjZHNhLXNoYTItbmlzdHAyNTY` `AAAAIbmlzdHAyNTYAAABBB`	`....ecdsa-sha2-nistp256` `....nistp256...A`	RFC 5656、3.1
`AAAAC3NzaC1lZDI1NTE5AAAAIFKy`	`....ssh-ed25519... R²`	RFC 8709、4
`AAAAB3NzaC1yc2EAAAADAQABAAABAQ`	`...ssh-rsa...........`	RFC 4253、6.6

`sed`Base64に合わせて調整する

Base64 でエンコードされた公開鍵には文字が含まれていますA-Za-z0-9+/=。例/で使用されているが含まれている可能性があるためsed、のような別の文字を使用する必要があります:。

実例

例:

はAAAA+OLD/KEY=、満杯古い公開鍵。
はAAAA+NEW/KEY=、満杯新しい公開鍵。

同じキーを持つすべてのホストを削除します

完全な古いキーを使用して、それを含むすべての行を削除します。

sed -i ':AAAA+OLD/KEY=:d' ~/.ssh/known_hosts

古い鍵を新しい鍵に交換する

完全なキー (古いキーと新しいキー) を使用して、古いキーを含むすべての行を置き換えます。

sed -i 's:AAAA+OLD/KEY=:AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

キータイプも変更された場合は、それを含める必要があります。例:

sed -i 's:ssh-rsa AAAA+OLD/KEY=:ecdsa-sha2-nistp256 AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

ホスト名またはIPのキーを削除します

これは、を使用する唯一のユースケースですssh-keygen。

ssh-keygen -R example.com

ssh-keygen -R 192.0.2.1

Question 2

そもそも問題を回避することは良い解決策です。known_hosts に特定のホスト名のすべての IP のエントリが入力されていなければ、sed を操作する必要はありません。ssh_keygen -R hostnameキーのローテーションを実行するだけで十分です。

したがって、これに対する私の解決策は、ssh 構成でCheckHostIPを設定することです。no

SSH オプション CheckHostIP=yes は実際にどのように役立ちますか?

Answer

そもそも問題を回避することは良い解決策です。known_hosts に特定のホスト名のすべての IP のエントリが入力されていなければ、sed を操作する必要はありません。ssh_keygen -R hostnameキーのローテーションを実行するだけで十分です。

したがって、これに対する私の解決策は、ssh 構成でCheckHostIPを設定することです。no

SSH オプション CheckHostIP=yes は実際にどのように役立ちますか?

考慮事項

答え1

考慮事項

衝突を避ける

`sed`Base64に合わせて調整する

実例

同じキーを持つすべてのホストを削除します

古い鍵を新しい鍵に交換する

ホスト名またはIPのキーを削除します

答え2

関連情報

答え1

考慮事項

衝突を避ける

sedBase64に合わせて調整する

実例

同じキーを持つすべてのホストを削除します

古い鍵を新しい鍵に交換する

ホスト名またはIPのキーを削除します

答え2

関連情報

`sed`Base64に合わせて調整する