12
Windows Powershell OpenSSH Client auto accept fingerprints
Hallo,
wenn ich mich in meinen Powershell Skript zu einem SSH Host verbunden habe, habe ich dafür die RenciSSH. dll im Skipt eingebunden. Mit Windows 10 1803 hat der OpenSSH Client sein Beta Stadium verlassen, so dass ich gerne mal mit diesem Testen möchten, ob ich die RenciSSH.dll ablösen kann. Bereits kurz nach dem Start habe ich jedoch für das Skripten ein Problem. Die Fingerprints der einzelnen Hosts fehlt in der Datei known-hosts des OpenSSH Clients.
Hat schon jemand von euch eine Möglichkeit gefunden, die SSH Fingerprints automatisch zu akzeptieren auch wenn sie sich ändern?
wenn ich mich in meinen Powershell Skript zu einem SSH Host verbunden habe, habe ich dafür die RenciSSH. dll im Skipt eingebunden. Mit Windows 10 1803 hat der OpenSSH Client sein Beta Stadium verlassen, so dass ich gerne mal mit diesem Testen möchten, ob ich die RenciSSH.dll ablösen kann. Bereits kurz nach dem Start habe ich jedoch für das Skripten ein Problem. Die Fingerprints der einzelnen Hosts fehlt in der Datei known-hosts des OpenSSH Clients.
Hat schon jemand von euch eine Möglichkeit gefunden, die SSH Fingerprints automatisch zu akzeptieren auch wenn sie sich ändern?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 394507
Url: https://administrator.de/contentid/394507
Printed on: April 19, 2024 at 21:04 o'clock
12 Comments
Latest comment
Stichwort StrictHostKeyChecking=No führt dich zum Ziel, wenn auch mit Koppschüttel.
https://superuser.com/questions/311886/where-is-the-known-hosts-file-for ...
Aber wenn du schon so eine kamikaze Lösung des automatischen akzeptieren bevorzugst, nimm gleich telnet, ist noch pflegeleichter :-P
Aber wenn du schon so eine kamikaze Lösung des automatischen akzeptieren bevorzugst, nimm gleich telnet, ist noch pflegeleichter :-P
Moin,
für mich klingt die Frage ungefähr so: "Kennt jemand eine Möglichkeit, dem Einbrecher mitzuteilen, dass der Schlüssel nicht mehr unter der Fußmatte liegt, sondern auf dem Türrahmen?"
Liebe Grüße
Erik
für mich klingt die Frage ungefähr so: "Kennt jemand eine Möglichkeit, dem Einbrecher mitzuteilen, dass der Schlüssel nicht mehr unter der Fußmatte liegt, sondern auf dem Türrahmen?"
Liebe Grüße
Erik
Tja ganz so leicht ich es nicht. Mein Problem ist, dass das Skript eine GUI bietet, bei dem es eigentlich keine Consolenausgabe geben soll. Das bedeutet ich müsste die Meldung vom Fingerprint abfangen und via Messagebox ausgeben. Ansonsten könnte ich die Meldung nicht bestätigen. Deshalb das akzeptieren des Keys. Die Systeme auf die Zugegriffen wird, sind in meiner Hoheit von daher ist das Risiko geringer.
StrictHostKeyChecking=No
Funktioniert zumindest unter Windows 10 1803 noch nicht. Den Parameter kennt er nicht. Ich möchte in der known-hosts aber auch nicht manuell Einträge vornehmen.
StrictHostKeyChecking=No
Funktioniert zumindest unter Windows 10 1803 noch nicht. Den Parameter kennt er nicht. Ich möchte in der known-hosts aber auch nicht manuell Einträge vornehmen.
Zitat von @derhoeppi:
StrictHostKeyChecking=No
Funktioniert zumindest unter Windows 10 1803 noch nicht. Den Parameter kennt er nicht. Ich möchte in der known-hosts aber auch nicht manuell Einträge vornehmen.
Lach StrictHostKeyChecking=No
Funktioniert zumindest unter Windows 10 1803 noch nicht. Den Parameter kennt er nicht. Ich möchte in der known-hosts aber auch nicht manuell Einträge vornehmen.
, das sollte dich eigentlich anspornen selbst danach zu googeln das das kein Parameter ist den du direkt angeben kannst sollte doch klar sein, da ist ja erstens kein Dash vor und die Syntax entspricht ja niemals Powershell! Immer diese Copy n Paste Generation ...
Moin,
Und?
Genau das heißt es. Also ran an die Tasten und programmieren. Das ist doch wirklich nicht schwer.
Weil Du zu faul bist ein paar Zeilen Code mehr zu schreiben?
Ahja, weil Du die Systeme administrierst, ist ein Man in the Middle Angriff unwahrscheinlich? Wenn ich das hier lese, dann würde ich das Risiko als sehr hoch einstufen.
Liebe Grüße
Erik
Zitat von @derhoeppi:
Tja ganz so leicht ich es nicht. Mein Problem ist, dass das Skript eine GUI bietet, bei dem es eigentlich keine Consolenausgabe geben soll.
Tja ganz so leicht ich es nicht. Mein Problem ist, dass das Skript eine GUI bietet, bei dem es eigentlich keine Consolenausgabe geben soll.
Und?
Das bedeutet ich müsste die Meldung vom Fingerprint abfangen und via Messagebox ausgeben. Ansonsten könnte ich die Meldung nicht bestätigen.
Genau das heißt es. Also ran an die Tasten und programmieren. Das ist doch wirklich nicht schwer.
Deshalb das akzeptieren des Keys.
Weil Du zu faul bist ein paar Zeilen Code mehr zu schreiben?
Die Systeme auf die Zugegriffen wird, sind in meiner Hoheit von daher ist das Risiko geringer.
Ahja, weil Du die Systeme administrierst, ist ein Man in the Middle Angriff unwahrscheinlich? Wenn ich das hier lese, dann würde ich das Risiko als sehr hoch einstufen.
Liebe Grüße
Erik
Schade - das ich solche Antworten lese! Ohne meine Umgebung zu kennen - eine Einschätzung zum Risiko zu geben :kopfschüttel! Demnächst überlege ich mir zweimal, ob ich in diesem Forum eine Frage stelle. Schließlich sollte (und so habe ich Administrator.de kennengelernt) das Forum eine Basis sein um solche Fragen zu stellen.
Bei answer hab ich mich vertan. Ich habe vor dem Schrieben des Beitrags in den Ubuntu Manuals gelesen. Ab Version 18.04 gibt es dort eine Parametererweiterung StrictHostKeyChecking=accept-new. Diesen kann ich über die Powershell nicht setzen. Wenn ich StrictHostKeyChecking=No setzten möchte, benötigt es vorher den Host in der Datei. Da ich Windows 10 1803 nutze, kann ich nicht sagen, wie aktuell die Implementierung vom OpenSSH Client ist - ob den Microsoft mitpatched oder ob es nur mit einem Featureupgrade eine neue Version gibt.
Dank der wirklich glorreichen Antworten werde ich euch nicht weiter zu dem Thema behelligen.
Bei answer hab ich mich vertan. Ich habe vor dem Schrieben des Beitrags in den Ubuntu Manuals gelesen. Ab Version 18.04 gibt es dort eine Parametererweiterung StrictHostKeyChecking=accept-new. Diesen kann ich über die Powershell nicht setzen. Wenn ich StrictHostKeyChecking=No setzten möchte, benötigt es vorher den Host in der Datei. Da ich Windows 10 1803 nutze, kann ich nicht sagen, wie aktuell die Implementierung vom OpenSSH Client ist - ob den Microsoft mitpatched oder ob es nur mit einem Featureupgrade eine neue Version gibt.
Dank der wirklich glorreichen Antworten werde ich euch nicht weiter zu dem Thema behelligen.
Moin,
Schade, dass Du kritikunfähig bist.
Und ich schüttle den Kopf, wenn man nicht erkennt, dass man ein sehr hohes Risiko eines Man in the Middle Angriffs eingeht, wenn man keys ohne weiter Prüfung akzeptiert "auch wenn sie sich ändern". Dann lass die keys doch einfach ganz weg. Ist einfacher.
Liebe Grüße
Erik
Schade, dass Du kritikunfähig bist.
Ohne meine Umgebung zu kennen - eine Einschätzung zum Risiko zu geben :kopfschüttel!
Und ich schüttle den Kopf, wenn man nicht erkennt, dass man ein sehr hohes Risiko eines Man in the Middle Angriffs eingeht, wenn man keys ohne weiter Prüfung akzeptiert "auch wenn sie sich ändern". Dann lass die keys doch einfach ganz weg. Ist einfacher.
Liebe Grüße
Erik
Problem ist das deine Äußerungen nicht der Lösungsfindung dienen, sondern SmallTalk sind. Kritik kann ich sehr wohl vertragen - es kommt jedoch auf die Art und Weise der Kritik an. Plakative Antworten auf Fragen zu Problemen ist aus meiner Sicht der falsche Weg innerhalb der Community. Eine Nachfrage, weshalb ich das mache und darauf Bezug zu nehmen oder eine Alternative vorschlagen, wäre der bessere Weg. Aber es soll jeder machen wie er denkt!
Diesen kann ich über die Powershell nicht setzen.
Ist ja auch soooo schwer ... ssh -o "StrictHostKeyChecking=No" -i .ssh\id_rsa user@192.168.1.20
Und wenn man das für alle Verbindungen auf der Kiste nicht immer als Option setzen will erstellt man eine Datei unter
und trägt dort
ein. Fertig, Affe tot. Auch wenn heute kein Freitag ist.
Gruß A.
Wenns das dann war, noch den Haken dran. Danke.
p.s. hier noch der Beweis (bsp. mit PS Core 6.1.1) das das lüppt, wenn du immer noch ungläubig sein solltest:
Weiteres:
https://docs.microsoft.com/de-de/powershell/scripting/core-powershell/ss ...
%userprofile%\.ssh\config
StrictHostKeyChecking noein. Fertig, Affe tot. Auch wenn heute kein Freitag ist.
Gruß A.
Wenns das dann war, noch den Haken dran. Danke.
p.s. hier noch der Beweis (bsp. mit PS Core 6.1.1) das das lüppt, wenn du immer noch ungläubig sein solltest:
Weiteres:
https://docs.microsoft.com/de-de/powershell/scripting/core-powershell/ss ...
Danke answer.
Ich lass es an dieser Stelle mit dem von Windows integrierten OpenSSH Client sein. In der Zwischenzeit habe ich mir die Powershell 6 angesehen, weil ich es, unabhängig von dem Fingerprint Handling, nicht geschafft habe, die SSH Session in ein Session Objekt zu packen, so dass ich zwischen dem lokalen Rechner auf dem das Skript läuft und dem remoten hin und herspringen kann. Ich könnte zwar sicherlich mit Invoke-Command arbeiten, aber dann bräuchte ich das Session Objekt nicht und würde immer wieder eine neue Verbindung aufbauen.
Diese Lösung habe ich jedoch in meiner alten Version. Vielleicht schau mich mir noch das Modul PoshSSH an. Vielleicht bin ich damit besser dran. Meine Intention war jedoch, dass ich mein Skript auf allen aktuellen Windows 10 Desktops ausführen kann ohne ein PS-Modul oder die RenciSSH.dll verteilen muss.
Ich lass es an dieser Stelle mit dem von Windows integrierten OpenSSH Client sein. In der Zwischenzeit habe ich mir die Powershell 6 angesehen, weil ich es, unabhängig von dem Fingerprint Handling, nicht geschafft habe, die SSH Session in ein Session Objekt zu packen, so dass ich zwischen dem lokalen Rechner auf dem das Skript läuft und dem remoten hin und herspringen kann. Ich könnte zwar sicherlich mit Invoke-Command arbeiten, aber dann bräuchte ich das Session Objekt nicht und würde immer wieder eine neue Verbindung aufbauen.
Diese Lösung habe ich jedoch in meiner alten Version. Vielleicht schau mich mir noch das Modul PoshSSH an. Vielleicht bin ich damit besser dran. Meine Intention war jedoch, dass ich mein Skript auf allen aktuellen Windows 10 Desktops ausführen kann ohne ein PS-Modul oder die RenciSSH.dll verteilen muss.
