web-dev-qa-db-ja.com

Google Compute Engineインスタンスからsshホストキーを安全に取得するにはどうすればよいですか?

新しく作成されたGCEインスタンスのホストキー情報で~/.ssh/known_hostsを更新したいと思います。しかし、その情報を安全に取得する方法がわかりません。

のようなものを考えました

gcloud compute ssh <GCEUSER>@<GCEHOST> --command='ssh-keyscan 127.0.0.1'

うまくいくかもしれません。しかし、それは( gcloud compute sshドキュメント による)sshのラッパーのように見えます(そして、関連するログファイルにリストされているパラメーターのStrictHostKeyChecking=noを見ると$ HOME/.config/gcloud/logs /の下では、明らかにホストのIDをチェックしていません)。

Webコンソールを使用してブラウザーベースのsshセッションを起動する方法があるようです(そして、インタラクティブに/手動でssh-keyscanを実行します)。本来あるべき安全性と2)スクリプト統合のための効果的なAPIではありません。

GCEインスタンスのホストキーを安全に取得するためのAPI/gcloudメカニズムはありますか?

4
jhfrontz

いいえ、これを行う簡単な方法はありません( このセキュリティリスクを修正するための未解決の問題 があります)。

0
jhfrontz