84 lines
1.9 KiB
Plaintext
84 lines
1.9 KiB
Plaintext
== Publish SSH Host Key Fingerprints in DNS ==
|
|
|
|
Üblicherweise werden durch <source lang="bash">ssh-keygen</source> die <code>.pub</code>-Schlüsselpaare
|
|
: <code>/etc/ssh/ssh_host_rsa_key.pub</code>
|
|
: <code>/etc/ssh/ssh_host_dsa_key.pub</code>
|
|
: <code>/etc/ssh/ssh_host_ecdsa_key.pub</code>
|
|
erstellt.
|
|
|
|
Beispielsweise, aber typisch, sieht ein SSHFP Resource Record (für [[w:de:BIND|BIND]]) etwa wie
|
|
: <code>server.hq.c3d2.de. 86400 IN SSHFP 2 1 2492656260c5452d5c5452c6d21ea770f79bb9c8</code>
|
|
aus.
|
|
|
|
Details dazu sind bei [[rfc:6594]] zu entnehmen.
|
|
|
|
Die <code>2</code>, erste Zahl nach <code>SSHFP</code>, gibt den Typ vom SSH Key an. Dabei stehen die Angaben für:
|
|
|
|
{| class="wikitable"
|
|
|-
|
|
! Value
|
|
! Algorithm name
|
|
|-
|
|
| style="text-align:right" | 0
|
|
| '''reserved'''
|
|
|-
|
|
| style="text-align:right" | 1
|
|
| '''RSA'''
|
|
|-
|
|
| style="text-align:right" | 2
|
|
| '''DSA'''
|
|
|-
|
|
| style="text-align:right" | 3
|
|
| '''ECDSA'''
|
|
|-
|
|
|}
|
|
<!--
|
|
{{NiftyDiv|
|
|
Farbe=#b4d9fa|
|
|
Inhalt=
|
|
|
|
Value: '''0''' Algorithm name: '''reserved'''
|
|
|
|
Value: '''1''' Algorithm name: '''RSA'''
|
|
|
|
Value: '''2''' Algorithm name: '''DSA'''
|
|
|
|
Value: '''3''' Algorithm name: '''ECDSA'''
|
|
|
|
}}
|
|
-->
|
|
|
|
Die <code>1</code>, zweite Zahl nach <code>SSHFP</code>, gibt den Typ vom Hash Algorithmus an. Dabei stehen die Angaben für:
|
|
{| class="wikitable"
|
|
|-
|
|
! Value
|
|
! Algorithm name
|
|
|-
|
|
| style="text-align:right" | 1
|
|
| '''SHA1'''
|
|
|-
|
|
| style="text-align:right" | 2
|
|
| '''SHA256'''
|
|
|-
|
|
|}
|
|
<!--
|
|
{{NiftyDiv|
|
|
Farbe=#b4d9fa|
|
|
Inhalt=
|
|
|
|
Value: '''1''' Algorithm name: '''SHA1'''
|
|
|
|
Value: '''2''' Algorithm name: '''SHA256'''
|
|
|
|
}}
|
|
-->
|
|
|
|
Die Berechnung des Fingerprintes erfolgt mit <source lang="bash">awk '{print $2}' /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl sha1</source>.
|
|
|
|
Mit <source lang="bash">ssh -o "VerifyHostKeyDNS yes" user@hostname</source> kann SSHFP getestet werden.
|
|
|
|
== Siehe auch ==
|
|
* [[wikipedia:de:SSHFP Resource Record]]
|
|
|
|
[[Kategorie:Sicherheit bei Netzwerken]]
|