SSHFP: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Vater (Diskussion | Beiträge) |
Vater (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
Zeile 77: | Zeile 77: | ||
Mit <source lang="bash">ssh -o "VerifyHostKeyDNS yes" user@hostname</source> kann SSHFP getestet werden. | Mit <source lang="bash">ssh -o "VerifyHostKeyDNS yes" user@hostname</source> kann SSHFP getestet werden. | ||
== Siehe auch == | == Siehe auch == | ||
* [[wikipedia:de:SSHFP Resource Record]] | * [[wikipedia:de:SSHFP Resource Record]] | ||
[[Kategorie:Sicherheit | [[Kategorie:Sicherheit bei Netzwerken]] |
Version vom 27. Februar 2014, 00:53 Uhr
Publish SSH Host Key Fingerprints in DNS
Üblicherweise werden durch
ssh-keygen
die .pub
-Schlüsselpaare
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
erstellt.
Beispielsweise, aber typisch, sieht ein SSHFP Resource Record (für BIND) etwa wie
server.hq.c3d2.de. 86400 IN SSHFP 2 1 2492656260c5452d5c5452c6d21ea770f79bb9c8
aus.
Details dazu sind bei rfc:6594 zu entnehmen.
Die 2
, erste Zahl nach SSHFP
, gibt den Typ vom SSH Key an. Dabei stehen die Angaben für:
Value | Algorithm name |
---|---|
0 | reserved |
1 | RSA |
2 | DSA |
3 | ECDSA |
Die 1
, zweite Zahl nach SSHFP
, gibt den Typ vom Hash Algorithmus an. Dabei stehen die Angaben für:
Value | Algorithm name |
---|---|
1 | SHA1 |
2 | SHA256 |
Die Berechnung des Fingerprintes erfolgt mit
awk '{print $2}' /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl sha1
. Mit
ssh -o "VerifyHostKeyDNS yes" user@hostname
kann SSHFP getestet werden.