Соображения

Question 1

Цель ssh-keygen -Rне в том, чтобы избежать использования sed, а в том, чтобы удалить хэшированные хосты, которые, например, sedне удалось найти. Изssh-keygen(1):

-R hostname

Удаляет все ключи, принадлежащие к hostnameиз known_hostsфайла. Эта опция полезна для удаления хэшированных хостов (см. -Hопцию выше).

-H

Хэшировать known_hostsфайл. Это заменяет все имена хостов и адреса хэшированными представлениями в указанном файле; исходное содержимое перемещается в файл с суффиксом .old. Эти хэши могут использоваться обычным образом sshи sshd, но они не раскрывают идентифицирующую информацию, если содержимое файла будет раскрыто. Эта опция не изменяет существующие хэшированные имена хостов и поэтому безопасна для использования в файлах, которые смешивают хэшированные и нехэшированные имена.

Соображения

Избегайте столкновений

Обратите внимание, что лучше всего использовать полный открытый ключ, закодированный в Base64, чтобы избежать удаления других ключей. Например, если вы используете только частизаголовокв итоге вы удалите все ключи одного типа:

Base64	ASCII	Ссылка.
`AAAAE2VjZHNhLXNoYTItbmlzdHAyNTY` `AAAAIbmlzdHAyNTYAAABBB`	`....ecdsa-sha2-nistp256` `....nistp256...A`	RFC 5656, 3.1
`AAAAC3NzaC1lZDI1NTE5AAAAIFKy`	`....ssh-ed25519... R²`	RFC 8709, 4
`AAAAB3NzaC1yc2EAAAADAQABAAABAQ`	`...ssh-rsa...........`	RFC 4253, 6.6

Настройте `sed`для Base64

Открытый ключ в кодировке Base64 содержит символы A-Za-z0-9+/=. Поскольку он может содержать /используемый в вашем sedпримере, вы хотели бы использовать другой символ, например :.

Рабочие примеры

В примерах:

Это AAAA+OLD/KEY=заполнитель дляполныйстарый открытый ключ.
Это AAAA+NEW/KEY=заполнитель дляполныйновый открытый ключ.

Удалить все хосты с одинаковым ключом

Используйте полный старый ключ, чтобы удалить все строки, содержащие его:

sed -i ':AAAA+OLD/KEY=:d' ~/.ssh/known_hosts

Замените старый ключ на новый

Используйте полные ключи (старый и новый) для замены во всех строках, содержащих старый ключ:

sed -i 's:AAAA+OLD/KEY=:AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

Если тип ключа также изменится, вам придется включить его, например,

sed -i 's:ssh-rsa AAAA+OLD/KEY=:ecdsa-sha2-nistp256 AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

Удалить ключи для имени хоста или IP

Это единственный случай, когда следует использовать ssh-keygen.

ssh-keygen -R example.com

ssh-keygen -R 192.0.2.1

Answer

Цель ssh-keygen -Rне в том, чтобы избежать использования sed, а в том, чтобы удалить хэшированные хосты, которые, например, sedне удалось найти. Изssh-keygen(1):

-R hostname

Удаляет все ключи, принадлежащие к hostnameиз known_hostsфайла. Эта опция полезна для удаления хэшированных хостов (см. -Hопцию выше).

-H

Хэшировать known_hostsфайл. Это заменяет все имена хостов и адреса хэшированными представлениями в указанном файле; исходное содержимое перемещается в файл с суффиксом .old. Эти хэши могут использоваться обычным образом sshи sshd, но они не раскрывают идентифицирующую информацию, если содержимое файла будет раскрыто. Эта опция не изменяет существующие хэшированные имена хостов и поэтому безопасна для использования в файлах, которые смешивают хэшированные и нехэшированные имена.

Соображения

Избегайте столкновений

Обратите внимание, что лучше всего использовать полный открытый ключ, закодированный в Base64, чтобы избежать удаления других ключей. Например, если вы используете только частизаголовокв итоге вы удалите все ключи одного типа:

Base64	ASCII	Ссылка.
`AAAAE2VjZHNhLXNoYTItbmlzdHAyNTY` `AAAAIbmlzdHAyNTYAAABBB`	`....ecdsa-sha2-nistp256` `....nistp256...A`	RFC 5656, 3.1
`AAAAC3NzaC1lZDI1NTE5AAAAIFKy`	`....ssh-ed25519... R²`	RFC 8709, 4
`AAAAB3NzaC1yc2EAAAADAQABAAABAQ`	`...ssh-rsa...........`	RFC 4253, 6.6

Настройте `sed`для Base64

Открытый ключ в кодировке Base64 содержит символы A-Za-z0-9+/=. Поскольку он может содержать /используемый в вашем sedпримере, вы хотели бы использовать другой символ, например :.

Рабочие примеры

В примерах:

Это AAAA+OLD/KEY=заполнитель дляполныйстарый открытый ключ.
Это AAAA+NEW/KEY=заполнитель дляполныйновый открытый ключ.

Удалить все хосты с одинаковым ключом

Используйте полный старый ключ, чтобы удалить все строки, содержащие его:

sed -i ':AAAA+OLD/KEY=:d' ~/.ssh/known_hosts

Замените старый ключ на новый

Используйте полные ключи (старый и новый) для замены во всех строках, содержащих старый ключ:

sed -i 's:AAAA+OLD/KEY=:AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

Если тип ключа также изменится, вам придется включить его, например,

sed -i 's:ssh-rsa AAAA+OLD/KEY=:ecdsa-sha2-nistp256 AAAA+NEW/KEY=:g' ~/.ssh/known_hosts

Удалить ключи для имени хоста или IP

Это единственный случай, когда следует использовать ssh-keygen.

ssh-keygen -R example.com

ssh-keygen -R 192.0.2.1

Question 2

Избегать проблемы изначально — хорошее решение. Если бы known_hosts не был заполнен записями для каждого IP-адреса для данного имени хоста, не было бы необходимости возиться с sed. ssh_keygen -R hostnameбыло бы достаточно выполнить ротацию ключей.

Поэтому мое решение этой проблемы — установить CheckHostIPв noконфигурации ssh.

Как на самом деле мне поможет опция SSH CheckHostIP=yes?

Answer

Избегать проблемы изначально — хорошее решение. Если бы known_hosts не был заполнен записями для каждого IP-адреса для данного имени хоста, не было бы необходимости возиться с sed. ssh_keygen -R hostnameбыло бы достаточно выполнить ротацию ключей.

Поэтому мое решение этой проблемы — установить CheckHostIPв noконфигурации ssh.

Как на самом деле мне поможет опция SSH CheckHostIP=yes?

Соображения

решение1

Соображения

Избегайте столкновений

Настройте `sed`для Base64

Рабочие примеры

Удалить все хосты с одинаковым ключом

Замените старый ключ на новый

Удалить ключи для имени хоста или IP

решение2

Связанный контент

решение1

Соображения

Избегайте столкновений

Настройте sedдля Base64

Рабочие примеры

Удалить все хосты с одинаковым ключом

Замените старый ключ на новый

Удалить ключи для имени хоста или IP

решение2

Связанный контент

Настройте `sed`для Base64