OpenSSH Fingerprinte im DNS
Jetzt habe ich endlich mal eine einfache Anleitung gefunden um OpenSSH Fingerprinte im DNS zu hinterlegen (RFC4255).
Denn ssh-keygen
kann diereckt den für BIND nötigen SSHFP record erstellen.
root@ns01:~# ssh-keygen -r ns01.caix.de -f /etc/ssh/ssh_host_rsa_key.pub
ns01.caix.de IN SSHFP 1 1 e208441777cba0459c52e8680b617b254183f711
root@ns01:~# ssh-keygen -r ns01.caix.de -f /etc/ssh/ssh_host_dsa_key.pub
ns01.caix.de IN SSHFP 2 1 0476a2a57fb720fbee586b78e28490929501d8c6
Nach dem veröffentlichen im DNS kann mal den Record mit dig
abrufe.
dig -t SSHFP ns01.caix.de
;; ANSWER SECTION:
ns01.caix.de. 7200 IN SSHFP 1 1 E208441777CBA0459C52E8680B617B254183F711
ns01.caix.de. 7200 IN SSHFP 2 1 0476A2A57FB720FBEE586B78E28490929501D8C6
Testen kann mal das ganze dann mit der Option VerifyHostKeyDNS
und -v
für den Debug mode. Die zwei entscheiden Zielen habe ich unten aufgeführt.
ssh root@ns01.caix.de -o VerifyHostKeyDNS=yes -v
...
debug1: found 2 insecure fingerprints in DNS
debug1: matching host key fingerprint found in DNS
...
Quelle: bd.hauke-lampe.de
Tags: dns