SSHFP: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Keine Bearbeitungszusammenfassung |
Vater (Diskussion | Beiträge) K (→Publish SSH Host Key Fingerprints in DNS: vaterBOT was here! Dank an Daniel für solche Artikel!) |
||
| Zeile 1: | Zeile 1: | ||
== Publish SSH Host Key Fingerprints in DNS == | == Publish SSH Host Key Fingerprints in DNS == | ||
Üblicherweise werden durch <source lang="bash">ssh-keygen</source> die <code>.pub</code>-Schlüsselpaare | |||
: <code>/etc/ssh/ssh_host_rsa_key.pub</code> | |||
: <code>/etc/ssh/ssh_host_dsa_key.pub</code> | |||
: <code>/etc/ssh/ssh_host_ecdsa_key.pub</code> | |||
erstellt. | |||
Beispielsweise, aber typisch, sieht ein SSHFP Record (für [[w:de:BIND|BIND]]) etwa wie | |||
: <code>server.hq.c3d2.de. 86400 IN SSHFP 2 1 2492656260c5452d5c5452c6d21ea770f79bb9c8</code> | |||
aus. | |||
Details dazu sind bei [[rfc:6594]] zu entnehmen. | |||
Die <code>2</code> gibt den Typ vom SSH Key an. Dabei stehen die Angaben für: | |||
{| class="wikitable" | |||
|- | |||
! Value | |||
! Algorithm name | |||
|- | |||
| style="text-align:right" | 0 | |||
| '''reserved''' | |||
|- | |||
| style="text-align:right" | 1 | |||
| '''RSA''' | |||
|- | |||
| style="text-align:right" | 2 | |||
| '''DSA''' | |||
|- | |||
| style="text-align:right" | 3 | |||
| '''ECDSA''' | |||
|- | |||
|} | |||
<!-- | |||
{{NiftyDiv| | {{NiftyDiv| | ||
Farbe=#b4d9fa| | Farbe=#b4d9fa| | ||
| Zeile 33: | Zeile 47: | ||
}} | }} | ||
--> | |||
Die <code>2</code> gibt den Typ vom Hash Algorithmus an. Dabei stehen die Angaben für: | |||
{| class="wikitable" | |||
|- | |||
! Value | |||
! Algorithm name | |||
|- | |||
| style="text-align:right" | 1 | |||
| '''SHA1''' | |||
|- | |||
| style="text-align:right" | 2 | |||
| '''SHA256''' | |||
|- | |||
|} | |||
<!-- | |||
{{NiftyDiv| | {{NiftyDiv| | ||
Farbe=#b4d9fa| | Farbe=#b4d9fa| | ||
| Zeile 48: | Zeile 72: | ||
}} | }} | ||
--> | |||
Die Berechnung des Fingerprintes erfolgt mit <source lang="bash">awk '{print $2}' /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl sha1</source>. | |||
Die Berechnung des Fingerprintes erfolgt mit | |||
<source lang="bash"> | |||
awk '{print $2}' /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl sha1 | |||
</source> | |||
Mit <source lang="bash">ssh -o "VerifyHostKeyDNS yes" user@hostname</source> kann SSHFP getestet werden. | |||
SSHFP | == Siehe auch == | ||
* [[wikipedia:de:SSHFP Resource Record]] | |||
[[Kategorie:Sicherheit in Netzwerk]] | |||
Version vom 27. Februar 2014, 00:38 Uhr
Publish SSH Host Key Fingerprints in DNS
Üblicherweise werden durch
ssh-keygen die .pub-Schlüsselpaare
/etc/ssh/ssh_host_rsa_key.pub/etc/ssh/ssh_host_dsa_key.pub/etc/ssh/ssh_host_ecdsa_key.pub
erstellt.
Beispielsweise, aber typisch, sieht ein SSHFP Record (für BIND) etwa wie
server.hq.c3d2.de. 86400 IN SSHFP 2 1 2492656260c5452d5c5452c6d21ea770f79bb9c8
aus.
Details dazu sind bei rfc:6594 zu entnehmen.
Die 2 gibt den Typ vom SSH Key an. Dabei stehen die Angaben für:
| Value | Algorithm name |
|---|---|
| 0 | reserved |
| 1 | RSA |
| 2 | DSA |
| 3 | ECDSA |
Die 2 gibt den Typ vom Hash Algorithmus an. Dabei stehen die Angaben für:
| Value | Algorithm name |
|---|---|
| 1 | SHA1 |
| 2 | SHA256 |
Die Berechnung des Fingerprintes erfolgt mit
awk '{print $2}' /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl sha1. Mit
ssh -o "VerifyHostKeyDNS yes" user@hostnamekann SSHFP getestet werden.