2

我处于一种奇怪的情况,我需要第一次连接到 SFTP 服务器,但我似乎无法找到一种方法来访问服务器的已知主机条目。如果我可以正常连接说:

import pysftp
cnopts = pysftp.CnOpts()
cnopts.hostkeys = None
with pysftp.Connection('host', username='me', password='pass', cnopts=cnopts):

但显然这让你在中间攻击中向人开放。所以我尝试连接:

cnopts = pysftp.CnOpts(knownhosts='config/known_host')
cnopts.hostkeys = None

with pysftp.Connection(host, username=username, password=password, cnopts=cnopts) as sftp:

而且我收到各种错误消息。最近的一个是:

paramiko.hostkeys.InvalidHostKey

问题是我没有主机密钥,因为我是第一次连接。我试图从其他连接中获取密钥。我使用 WinSCP,但它将密钥存储在注册表文件中,格式与 known_host 不同。我尝试使用 ssh-keyscan 使用 PuTTY 获取它,但服务器甚至不允许我启动终端会话。我们不拥有这个盒子,托管服务提供商不太可能给我们我们需要的东西。

我运气不好?我应该继续跳过检查钥匙吗?

4

1 回答 1

4

可以在Python - pysftp / paramiko - 使用其指纹验证主机密钥中找到解决方案,但我必须对其进行一些更改才能使用 Python 3。

import hashlib as hl


def trim_fingerprint(fingerprint):
    #if fingerprint.startswith('ecdsa-sha2-nistp384 384 '):
        #return fingerprint[len('ecdsa-sha2-nistp384 384 '):]
    return fingerprint


def clean_fingerprint(fingerprint):
    #return trim_fingerprint(fingerprint).replace(':', '')
    return trim_fingerprint(fingerprint)

class FingerprintKey:

    def __init__(self, fingerprint):
        self.fingerprint = clean_fingerprint(fingerprint)

    def compare(self, other):
        if callable(getattr(other, "get_fingerprint", None)):
            return other.get_fingerprint() == self.fingerprint
        elif clean_fingerprint(other) == self.get_fingerprint():
            return True
        #elif hl.md5(other).digest().encode('hex') == self.fingerprint:
        #The line below is required for Python 3.  Above is Python 2.
        elif hl.md5(other).hexdigest() == self.fingerprint:
            return True
        else:
            return False

    def __cmp__(self, other):
        return self.compare(other)

    def __contains__(self, other):
        return self.compare(other)

    def __eq__(self, other):
        return self.compare(other)

    def __ne__(self, other):
        return not self.compare(other)

    def get_fingerprint(self):
        return self.fingerprint

    def get_name(self):
        return u'ecdsa-sha2-nistp384'

    def asbytes(self):
         # Note: This returns itself.
         #   That way when comparisons are done to asbytes return value,
         #   this class can handle the comparison.
        return self

我不得不手动从指纹中删除任何“:”,因为它从来没有让脚本这样做。

用法:

options = pysftp.CnOpts()
options.hostkeys.clear()
options.hostkeys.add('www.sample.com', u'ecdsa-sha2-nistp384 384 ', AuthOnFingerPrint.FingerprintKey(serverkey))

其中 serverkey 是指纹。

于 2017-12-21T05:23:34.230 回答