cnopts.hostkeys = None除非您不关心安全性,否则请不要设置(如第二个最重要的答案所示)。这样,您就无法防御中间人攻击。
使用
CnOpts.hostkeys(返回
HostKeys)来管理受信任的主机密钥。
cnopts = pysftp.CnOpts(knownhosts='known_hosts')with pysftp.Connection(host, username, password, cnopts=cnopts) as sftp:
其中
known_hosts包含以下格式的服务器公钥:
example.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQAB...
如果您不想使用外部文件,也可以使用
from base64 import deprebytes# ...keydata = b"""AAAAB3NzaC1yc2EAAAADAQAB..."""key = paramiko.RSAKey(data=deprebytes(keydata))cnopts = pysftp.CnOpts()cnopts.hostkeys.add('example.com', 'ssh-rsa', key)with pysftp.Connection(host, username, password, cnopts=cnopts) as sftp:尽管从pysftp 0.2.9开始,此方法将发出警告,似乎是一个错误:
使用pysftp连接到SFTP服务器时出现“无法加载HostKeys”警告
以这种格式检索主机密钥的一种简单方法是使用OpenSSH ssh-keyscan:
$ ssh-keyscan example.com# example.com SSH-2.0-OpenSSH_5.3example.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQAB...
(由于pysftp中的错误,如果服务器使用非标准端口,则此方法将不起作用–该条目以[example.com]:port+开头,请注意重定向ssh-keyscan到PowerShell中的文件)
您还可以使应用程序自动执行相同的操作:
将Paramiko AutoAddPolicy与pysftp一起使用
(它将自动将新主机的主机密钥添加到
known_hosts,但是对于已知的主机密钥,它将不接受更改的密钥)
尽管出于绝对的安全性考虑,但是如果您尚未受到攻击,则不能确定是否应该远程检索主机密钥。
请参阅我的文章如何获得SSH主机密钥指纹来授权服务器?
它用于我的WinSCP SFTP客户端,但是那里的大多数信息通常都是有效的。
