Potřebuji nastavit záznamy SSHFP v DNS pro mého hostitele. Trochu jsem hledal, ale nenašel jsem žádný dobrý příklad.
- Co jsou záznamy SSHFP?
- Jak vypadají záznamy SSHFP?
- Jak vytvořím záznamy SSHFP?
Přijatá odpověď:
Co jsou záznamy SSHFP?
Záznamy SSHFP jsou záznamy DNS, které obsahují otisky prstů pro veřejné klíče používané pro SSH. Většinou se používají s doménami podporujícími DNSSEC. Když se klient SSH připojí k serveru, zkontroluje odpovídající záznam SSHFP. Pokud se otisk záznamů shoduje se servery, server je legitimní a je bezpečné se připojit.
Jak vypadají záznamy SSHFP?
Záznamy SSHFP se skládají ze tří věcí:
- Algoritmus
- Typ otisku prstu
- Otisk prstu (v hex)
Algoritmus
V SSHFP jsou od roku 2015 definovány čtyři různé algoritmy . Každý algoritmus je reprezentován celým číslem. Algoritmy jsou:
- 1 – RSA
- 2 – DSA
- 3 – ECDSA
- 4 – Ed25519
Typ otisku prstu
V SSHFP jsou od roku 2012 definovány dva typy otisků prstů . Každý typ otisku prstu je reprezentován celým číslem. Jsou to:
- 1 – SHA-1
- 2 – SHA-256
Jak vygeneruji záznamy SSHFP?
Pro generování záznamů pomocí -r můžete použít ssh-keygen parametr, za nímž následuje název hostitele (který neovlivňuje otisky prstů, takže místo toho můžete zadat, co chcete)
Příklad
Pomocí ssh-keygen a CentOS:
[[email protected] ~]# ssh-keygen -r my.domain.com
my.domain.com IN SSHFP 1 1 450c7d19d5da9a3a5b7c19992d1fbde15d8dad34
my.domain.com IN SSHFP 2 1 72d30d211ce8c464de2811e534de23b9be9b4dc4
Poznámka
Někdy ssh-keygen požádá o umístění veřejného certifikátu. Pokud se zeptá, budete muset spustit ssh-keygen několikrát a pokaždé zadejte jiný certifikát, abyste se ujistili, že vygenerujete všechny potřebné záznamy SSHFP. Vaše veřejné klíče jsou obvykle umístěny v /etc/ssh .