使用 pysftp 或 Paramiko 时如何正确验证 SSH 主机密钥？

使用 pysftp 验证主机密钥

本文解决了使用 pysftp 根据known_hosts 文件验证 SSH 主机密钥时遇到的问题。最初的错误是由于 pysftp 在指定位置找不到主机密钥而发生的。

放弃 pysftp 并替代使用 Paramiko

pysftp 库存在以下已知错误主机密钥处理，建议直接使用Paramiko。 Paramiko 为 SSH 连接提供强大且支持良好的 API，包括主机密钥验证。

使用 Paramiko 管理主机密钥

Paramiko 允许对主机进行细粒度控制使用 CnOpts 类进行密钥管理。通过设置 cnopts.hostkeys，您可以管理受信任的主机密钥，并向库提供目标主机所需的密钥。

从已知主机文件加载主机密钥（推荐）

最安全的方法是使用包含受信任主机的公钥的已知主机文件。该文件通常位于 Unix 系统上的 ~/.ssh/known_hosts 中。 CnOpts 类提供了一种从此文件加载主机密钥的便捷方法。

手动添加主机密钥（不推荐）

作为一种不太安全的替代方案，您可以添加使用 HostKeys 类手动主机密钥。这需要从已知的主机文件中提取主机密钥或使用 SSH 直接从服务器获取它。

使用 ssh-keyscan 实用程序进行远程主机密钥检索

ssh-keyscan 实用程序可用于以所需格式检索远程服务器的主机密钥。但是，请注意，如果服务器使用非标准端口，则此方法不起作用。

使用 AutoAddPolicy 自动添加主机密钥（注意）

如果您想要 pysftp要自动将新主机的主机密钥添加到known_hosts，可以使用AutoAddPolicy类。不过，在建立信任之前，请务必谨慎行事并独立验证主机密钥。

获取主机密钥指纹进行指纹验证

为了绝对安全，建议使用手动获取主机密钥指纹并直接验证，而不是依赖远程检索。

以上是使用 pysftp 或 Paramiko 时如何正确验证 SSH 主机密钥？的详细内容。更多信息请关注PHP中文网其他相关文章！