Linux ssh-keyscan命令教程：如何收集SSH公钥（附实例详解和注意事项）

Linux ssh-keyscan命令介绍

ssh-keyscan（SSH Key Scanner）是一个用于收集SSH公钥的实用工具。这个命令可以扫描指定的主机（或多个主机）的SSH公钥，并将它们输出到标准输出。它常用于自动无人值守的脚本中，例如在SSH无密码登录的设置过程中，来收集和储备各个主机的公钥信息。此工具在自动化任务中非常有用，如批量处理或编写维护脚本。

Linux ssh-keyscan命令适用的Linux版本

ssh-keyscan 命令通常预装在大多数Linux发行版中，但如果系统中没有该命令，可以根据你的Linux发行版使用以下命令进行安装：

# 基于apt的发行版（如Debian、Ubuntu、Raspbian、Kali Linux等）
sudo apt-get update && sudo apt-get install openssh-client

# 基于yum的发行版（如RedHat，CentOS 7等）
sudo yum update && sudo yum install openssh-clients

# 基于dnf的发行版（如Fedora，CentOS 8等）
sudo dnf update && sudo dnf install openssh-clients

# 基于apk的发行版（如Alpine Linux）
sudo apk add --update openssh-client

# 基于pacman的发行版（如Arch Linux）
sudo pacman -Syu && sudo pacman -S openssh

# 基于zypper的发行版（如openSUSE）
sudo zypper ref && sudo zypper in openssh

# 基于pkg的FreeBSD发行版
sudo pkg update && sudo pkg install openssh

# 基于pkg的OS X/macOS发行版
brew update && brew install openssh

Linux ssh-keyscan命令的基本语法

基本语法格式为：

ssh-keyscan [选项] [主机名或IP地址]

Linux ssh-keyscan命令的常用选项或参数说明

选项	描述
-H	将主机的SSH公钥的散列打印到标准输出。
-p	指定端口号。
-t	指定要收集的密钥类型。常见的有rsa, dsa, ecdsa, ed25519。
-T	设置超时时间，默认为5秒。
-v	详细模式，显示详细的调试信息。

Linux ssh-keyscan命令实例详解

实例1：收集单个主机的SSH公钥

[linux@bashcommandnotfound.cn ~]$ ssh-keyscan example.com

此命令会显示example.com的SSH公钥。这对于自动化配置无密码SSH登录非常有用。

实例2：收集多个主机的SSH公钥

[linux@bashcommandnotfound.cn ~]$ ssh-keyscan host1.example.com host2.example.com

通过空格分隔，你可以一次性收集多个主机的SSH公钥。

实例3：指定端口号收集SSH公钥

[linux@bashcommandnotfound.cn ~]$ ssh-keyscan -p 2222 example.com

如果SSH服务器监听在非标准端口（默认的SSH端口是22），则需要使用-p选项指定端口号。

实例4：收集特定类型的SSH公钥

[linux@bashcommandnotfound.cn ~]$ ssh-keyscan -t rsa example.com

使用-t选项可以指定你想收集的公钥类型，例如rsa。

实例5：使用散列值输出

[linux@bashcommandnotfound.cn ~]$ ssh-keyscan -H example.com

该命令通过-H选项，指示 ssh-keyscan 命令输出主机的公钥信息。

实例6：以详细模式收集SSH公钥

ssh-keyscan -v example.com

在详细模式下，你可以看到ssh-keyscan命令在收集SSH公钥时的一些额外信息，这对于调试和确认过程中的问题很有帮助。

实例7：同时收集多种类型的SSH公钥

ssh-keyscan -t rsa,ecdsa,ed25519 example.com

使用逗号分隔，可以同时指定多种类型的公钥来收集。

实例8：设置超时时间

ssh-keyscan -T 10 example.com

用-T选项来设置超时时间，这里设置为10秒，如果ssh-keyscan在指定时间内无法收集到公钥，它将停止尝试。

实例9：将收集到的公钥追加到known_hosts文件

ssh-keyscan example.com >> ~/.ssh/known_hosts

这个命令会将example.com的公钥追加到用户的known_hosts文件中，这样在未来的SSH连接中，该主机就会被认为是已知的。

实例10：从文件中读取主机列表来收集SSH公钥

ssh-keyscan -f host_list.txt

假设host_list.txt文件中包含了一系列的主机名或IP地址，每行一个，此命令将为列表中的每个主机收集SSH公钥。

使用Linux ssh-keyscan命令时的注意事项

• 安全性问题：如果收集到的公钥没有得到适当的验证，攻击者可能利用ssh-keyscan命令来收集公钥，并进行中间人攻击。
• 主机验证：始终确保收集到的公钥是真实且可信的，以防止安全漏洞。
• 网络暴露：避免在不受信任的网络上运行ssh-keyscan，因为这可能向潜在的攻击者暴露你的意图和目标。
• 密钥管理：正确管理known_hosts文件，以防止未经授权的添加导致安全问题。