Table of Contents

Mostrar clave pública con su fingerprint correspondiente de servidores SSH externos

Mediante terminal. 

ssh-keyscan -p 22 dominio.com > /tmp/rsa &&  ssh-keygen -lf /tmp/rsa

Servicio online CheckSSL: https://checkssh.com

Código PHP de CheckSSL: https://checkssh.com/result/indexdotphp.txt

checkssl.php
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Check SSH - Result</title>
</head>
<body style="font-family:courier;">
<?php
function DoesItHaveInvalidChar($text)
{
	//http://www.askingbox.com/tip/php-permit-only-certain-letters-numbers-and-characters-in-a-string
	//http://www.regular-expressions.info/characters.html
	//http://stackoverflow.com/questions/9589074/regex-should-hyphens-be-escaped
	if (!preg_match("#^[-a-zA-Z0-9\.:]+$#", $text))
	{
		return TRUE;//echo 'String also contains other characters.';
	}
	return FALSE;
}
 
function ExecuteCommand($h,$p)
{
	$h = escapeshellcmd($h);//Just to be safe ... http://php.net/manual/en/function.escapeshellcmd.php
	$h = escapeshellarg($h);//Yeah, paranoid ... http://php.net/manual/en/function.escapeshellarg.php
	$p = escapeshellcmd($p);
	$p = escapeshellarg($p);
	//echo $h."<br>";
	//echo $p."<br>";
 
	$f = tempnam('','CS');//http://php.net/manual/en/function.tempnam.php
	//echo $f."<br>";
 
	shell_exec("ssh-keyscan -p ".$p." ".$h." > ".$f);
	$r=shell_exec("ssh-keygen -l -f ".$f." 2>&1");
	//http://www.linuxweblog.com/blogs/sandip/20090101/verifying-ssh-key-fingerprint
	unlink($f);
 
	$pieces = explode(" ", $r);//http://php.net/manual/en/function.explode.php
	if(count($pieces)==4)//http://php.net/manual/en/function.count.php
	{
		echo $pieces[1];
	}
	else
	{
		echo "ERROR: Failed to get fingerprint.";
	}
}
 
if(isset($_POST["host"]))
{
	$h=$_POST["host"];
	$h_length=strlen($h);
	if(($h_length>=1)&&($h_length<=1024))
	{
		if(DoesItHaveInvalidChar($h))
		{
			echo "ERROR: Host contains invalid character.";
		}
		elseif(substr($h,0,1)=="-")//http://php.net/manual/en/control-structures.elseif.php //http://php.net/manual/en/function.substr.php
		{
			echo "ERROR: The first character of host is \"-\".";
		}
		else
		{
			$p = 22;
			if(isset($_POST["port"]))
			{
				if(intval($_POST["port"])>0)//http://php.net/manual/en/function.intval.php
				{
					$p = intval($_POST["port"]);
				}
			}
			ExecuteCommand($h,$p);
		}
	}
	else
		echo "ERROR: String length of host is not between 1 and 1024.";
 
}
else
	echo "ERROR: Host is not set.";
?>
<br><a href="../" style="font-family:arial;">Home</a>
</body>
</html>

Mostrar en los logs de SSHD los fingerprint de las llaves de usuario

Simplemente se debe usar la opción LogLevel en el fichero de configuración del servidor /etc/ssh/sshd_config. 

LogLevel VERBOSE

Ejemplo de linenas de logs con el fingerprint de las llaves de usuario cuando el acceso es exitoso y cuando es fallido. 

# Acceso exitoso.
Jan 19 21:36:17 proxy sshd[6888]: Accepted publickey for root from 87.123.237.241 port 34578 ssh2: RSA d3:fa:64:0d:3e:be:3a:b0:50:cf:80:66:e8:2e:2a:a2

# Acceso denegado.
Jan 19 21:36:17 proxy sshd[6888]: Failed publickey for root from 87.123.237.241 port 34578 ssh2: RSA c2:8f:3f:d0:80:6b:68:17:2d:77:7e:3c:79:d2:ae:90

Mostrar fingerprint de claves públicas SSH / authorized_keys

Dependiendo de la versión del servidor ssh, es posible encontrarse en sus logs los fingerprint de las llaves lciente en formato MD5 o actualmente SHA256. Por lo tanto si se plantea comparar fingeprints, hay que prestar especial atención a dicho formato, ya que por ejemplo en versiones Centos menores a 6.X se usa el algoritmo MD5 mientras que las versiones posteriores implementan SHA256.

La versión cliente de ssh también usará de manera predeterminada un algoritmo u otro, en versiones antiguas la opción “-E” no se encuentra disponible y la única forma de representar la fingerprint es mediante MD5.

Fingerprint de una llave pública. 

# Fingerprint en SHA256.
ssh-keygen -lf fichero.pub
22048 SHA256:Qvzf9agby1GUQmVVaTDg85cCO0v3aUEsIaKY8I5EpzI root@localhost.localdomain (RSA)
 
# Usando MD5
ssh-keygen -lf fichero.pub -E md5
2048 MD5:c2:8f:3f:d0:80:6b:68:17:2d:77:7e:3c:79:d2:ae:90 root@localhost.localdomain (RSA)

Listar los fingerprints de todas las llaves en el fichero authorized_keys.(Función para .bashrc). 

function fingerprints() {
  local file="$1"
  while read l; do
    [[ -n $l && ${l###} = $l ]] && ssh-keygen -l -f /dev/stdin <<<$l
  done < $file
}
fingerprints $HOME/.ssh/authorized_keys

Si se quiere obtener el fingerprint de una linea en concreto de authorized_keys. (ej. Linea 2) 

ssh-keygen -l -f /dev/stdin <<<$(head -n 2 .ssh/authorized_keys)

NOTA: No olvidar la opción “-E md5” si se están usando versiones actuales de ssh-keygen y se quiere obtener el hash en formato MD5.