Ich muss SSHFP-Einträge im DNS für meinen Host einrichten. Ich habe einiges gesucht, aber kein gutes Beispiel gefunden.
- Was sind SSHFP-Einträge?
- Wie sehen SSHFP-Einträge aus?
- Wie erstelle ich SSHFP-Einträge?
Akzeptierte Antwort:
Was sind SSHFP-Einträge?
SSHFP-Einträge sind DNS-Einträge, die Fingerabdrücke für öffentliche Schlüssel enthalten, die für SSH verwendet werden. Sie werden hauptsächlich mit DNSSEC-fähigen Domains verwendet. Wenn ein SSH-Client eine Verbindung zu einem Server herstellt, überprüft er den entsprechenden SSHFP-Eintrag. Wenn der Fingerabdruck der Datensätze mit den Servern übereinstimmt, ist der Server legitim und die Verbindung ist sicher.
Wie sehen SSHFP-Einträge aus?
SSHFP-Einträge bestehen aus drei Dingen:
- Algorithmus
- Fingerabdrucktyp
- Fingerabdruck (in Hex)
Algorithmus
In SSHFP sind seit 2015 vier verschiedene Algorithmen definiert . Jeder Algorithmus wird durch eine ganze Zahl dargestellt. Die Algorithmen sind:
- 1 – RSA
- 2 – DSA
- 3 – ECDSA
- 4 – Ed25519
Fingerabdrucktyp
Zwei Fingerabdrucktypen sind in SSHFP seit 2012 definiert . Jeder Fingerabdrucktyp wird durch eine ganze Zahl dargestellt. Diese sind:
- 1 – SHA-1
- 2 – SHA-256
Wie generiere ich SSHFP-Einträge?
Sie können ssh-keygen verwenden, um die Datensätze mit dem -r zu generieren Parameter, gefolgt vom Hostnamen (der die Fingerabdrücke nicht beeinflusst, sodass Sie stattdessen angeben können, was Sie möchten)
Beispiel
Verwenden von ssh-keygen und CentOS:
[[email protected] ~]# ssh-keygen -r my.domain.com
my.domain.com IN SSHFP 1 1 450c7d19d5da9a3a5b7c19992d1fbde15d8dad34
my.domain.com IN SSHFP 2 1 72d30d211ce8c464de2811e534de23b9be9b4dc4
Hinweis
Manchmal ssh-keygen fragt nach dem Speicherort des öffentlichen Zertifikats. Wenn es danach fragt, müssen Sie ssh-keygen ausführen Geben Sie mehrmals und jedes Mal ein anderes Zertifikat an, um sicherzustellen, dass Sie alle erforderlichen SSHFP-Einträge generieren. Ihre öffentlichen Schlüssel befinden sich normalerweise in /etc/ssh .