SSHFP: Unterschied zwischen den Versionen

Aus C3D2
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
 
(9 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
== Publish SSH Host Key Fingerprints in DNS ==
== Publish SSH Host Key Fingerprints in DNS ==


üblicherweise werden durch ssh-keygen folgende .pub Schlüsselpaare erstellt:
Beispielsweise, aber typisch, sieht ein SSHFP Resource Record (für [[w:de:BIND|BIND]]) etwa wie
: <code>server.hq.c3d2.de. 86400 IN SSHFP 2 1 2492656260c5452d5c5452c6d21ea770f79bb9c8</code>
aus.


<source lang="bash">
Details dazu sind bei [[rfc:6594]] zu entnehmen.
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
</source>


ein typischer SSHFP Record sieht wie folgt aus:
Die <code>2</code>, erste Zahl nach <code>SSHFP</code>, gibt den Typ vom SSH&nbsp;Key an. Dabei stehen die Angaben für:
 
<source lang="bash">
server.hq.c3d2.de. 86400 IN SSHFP 2 1 2492656260c5452d5c5452c6d21ea770f79bb9c8
</source>
 
2 gibt den Typ des SSH Keys an, die Angabe wird unterteilt in:


{| class="wikitable"
|-
! Value
! Algorithm name
|-
| style="text-align:right" | 0
| '''reserved'''
|-
| style="text-align:right" | 1
| '''RSA'''
|-
| style="text-align:right" | 2
| '''DSA'''
|-
| style="text-align:right" | 3
| '''ECDSA'''
|-
|}
<!--
{{NiftyDiv|
{{NiftyDiv|
Farbe=#b4d9fa|
Farbe=#b4d9fa|
Zeile 30: Zeile 41:


}}
}}
-->


siehe RFC6594
Die <code>1</code>, zweite Zahl nach <code>SSHFP</code>, gibt den Typ vom Hash Algorithmus an. Dabei stehen die Angaben für:
 
{| class="wikitable"
1 gibt den Hash Algorithmus an:
|-
 
! Value
! Algorithm name
|-
| style="text-align:right" | 1
| '''SHA1'''
|-
| style="text-align:right" | 2
| '''SHA256'''
|-
|}
<!--
{{NiftyDiv|
{{NiftyDiv|
Farbe=#b4d9fa|
Farbe=#b4d9fa|
Zeile 44: Zeile 66:


}}
}}
-->
Die Berechnung des Fingerprintes erfolgt mit <source lang="bash">ssh-keygen -r c3d2.de</source>.


siehe RFC6594
Mit <source lang="bash">ssh -o "VerifyHostKeyDNS yes" user@hostname</source> kann SSHFP getestet werden.


Die Berechnung des Fingerprintes erfolgt mit:
== Siehe auch ==
* [[wikipedia:de:SSHFP Resource Record]]


<source lang="bash">
[[Kategorie:Sicherheit bei Netzwerken]]
awk '{print $2}' /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl sha1
</source>

Aktuelle Version vom 19. April 2023, 20:08 Uhr

Publish SSH Host Key Fingerprints in DNS

Beispielsweise, aber typisch, sieht ein SSHFP Resource Record (für BIND) etwa wie

server.hq.c3d2.de. 86400 IN SSHFP 2 1 2492656260c5452d5c5452c6d21ea770f79bb9c8

aus.

Details dazu sind bei rfc:6594 zu entnehmen.

Die 2, erste Zahl nach SSHFP, gibt den Typ vom SSH Key an. Dabei stehen die Angaben für:

Value Algorithm name
0 reserved
1 RSA
2 DSA
3 ECDSA

Die 1, zweite Zahl nach SSHFP, gibt den Typ vom Hash Algorithmus an. Dabei stehen die Angaben für:

Value Algorithm name
1 SHA1
2 SHA256

Die Berechnung des Fingerprintes erfolgt mit 

ssh-keygen -r c3d2.de

. Mit 

ssh -o "VerifyHostKeyDNS yes" user@hostname

kann SSHFP getestet werden.

Siehe auch

Abgerufen von „https://wiki.c3d2.de/w/index.php?title=SSHFP&oldid=32949