新しく作成されたGCEインスタンスのホストキー情報で~/.ssh/known_hosts
を更新したいと思います。しかし、その情報を安全に取得する方法がわかりません。
のようなものを考えました
gcloud compute ssh <GCEUSER>@<GCEHOST> --command='ssh-keyscan 127.0.0.1'
うまくいくかもしれません。しかし、それは( gcloud compute sshドキュメント による)ssh
のラッパーのように見えます(そして、関連するログファイルにリストされているパラメーターのStrictHostKeyChecking=no
を見ると$ HOME/.config/gcloud/logs /の下では、明らかにホストのIDをチェックしていません)。
Webコンソールを使用してブラウザーベースのsshセッションを起動する方法があるようです(そして、インタラクティブに/手動でssh-keyscan
を実行します)。本来あるべき安全性と2)スクリプト統合のための効果的なAPIではありません。
GCEインスタンスのホストキーを安全に取得するためのAPI/gcloud
メカニズムはありますか?
いいえ、これを行う簡単な方法はありません( このセキュリティリスクを修正するための未解決の問題 があります)。