如何使用 pysftp 和 Paramiko 安全管理 SFTP 主机密钥？

使用 Pysftp 管理 SFTP 主机密钥：详细检查

验证主机密钥是建立安全 SFTP 连接时的关键步骤。虽然 pysftp 是管理 SFTP 连接的流行工具，但用户经常遇到主机密钥处理问题。本文旨在剖析这些问题并提供全面的解决方案。

Pysftp 依赖 Paramiko 库来实现 SSH 功能，包括主机密钥管理。然而，值得注意的是 pysftp 本身在主机密钥处理方面有一定的限制。此外，pysftp 项目似乎不活跃，导致一些用户考虑直接使用 Paramiko。 Paramiko 对主机密钥管理提供了更大的灵活性和控制力。

了解 CnOpts 和受信任的主机密钥

主机密钥问题的一种解决方案是利用 pysftp 中的 CnOpts 对象。 CnOpts 包含一个 hostkeys 属性，允许用户管理受信任的主机密钥。通过指定包含服务器公钥的文件的路径，pysftp 可以在连接建立过程中验证主机密钥：

cnopts = pysftp.CnOpts(knownhosts='known_hosts')

with pysftp.Connection(host, username, password, cnopts=cnopts) as sftp:
    # ...

“known_hosts”文件应包含以下服务器的公钥格式：

example.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQAB...

此方法可确保 pysftp 根据已知且可信的服务器主机密钥验证服务器的主机密钥

使用直接主机密钥

如果维护外部主机密钥文件不可行，您可以使用 Paramiko 在代码中直接指定主机密钥：

from base64 import decodebytes
# ...

keydata = b"""AAAAB3NzaC1yc2EAAAADAQAB..."""
key = paramiko.RSAKey(data=decodebytes(keydata))
cnopts = pysftp.CnOpts()
cnopts.hostkeys.add('example.com', 'ssh-rsa', key)

with pysftp.Connection(host, username, password, cnopts=cnopts) as sftp:
    # ...

但是，由于以下原因，此方法可能会在 pysftp 0.2.9 中触发警告bug。

从外部检索主机密钥

也可以使用 ssh-keyscan 工具自动检索主机密钥：

# Retrieve host key using ssh-keyscan
ssh-keyscan example.com

此命令将以所需的格式输出主机密钥。请注意，将输出重定向到 PowerShell 中的文件可能会导致问题。

注意事项和注意事项

处理主机密钥验证时必须小心谨慎。禁用主机密钥检查（设置 cnopts.hostkeys = None）会严重损害安全性，应该避免。

此外，远程检索主机密钥可能存在风险，因为它使您容易受到潜在攻击。为了增强安全性，请直接从服务器管理员处获取主机密钥。

总之，使用 pysftp 管理 SFTP 连接的主机密钥需要仔细考虑可用选项。通过利用 CnOpts 并了解与 pysftp 相关的限制和错误，用户可以实现安全可靠的主机密钥验证机制。

以上是如何使用 pysftp 和 Paramiko 安全管理 SFTP 主机密钥？的详细内容。更多信息请关注PHP中文网其他相关文章！