Devo configurare i record SSHFP nel DNS per il mio host. Ho fatto delle ricerche ma non ho trovato nessun buon esempio.
- Cosa sono i record SSHFP?
- Che aspetto hanno i record SSHFP?
- Come faccio a creare record SSHFP?
Risposta accettata:
Cosa sono i record SSHFP?
I record SSHFP sono record DNS che contengono impronte digitali per le chiavi pubbliche utilizzate per SSH. Sono utilizzati principalmente con domini abilitati DNSSEC. Quando un client SSH si connette a un server, controlla il record SSHFP corrispondente. Se l'impronta digitale dei record corrisponde ai server, il server è legittimo ed è sicuro connettersi.
Che aspetto hanno i record SSHFP?
I record SSHFP sono costituiti da tre elementi:
- Algoritmo
- Tipo di impronta digitale
- Impronta digitale (in esadecimale)
Algoritmo
Esistono quattro diversi algoritmi definiti in SSHFP a partire dal 2015 . Ogni algoritmo è rappresentato da un numero intero. Gli algoritmi sono:
- 1 – RSA
- 2 – DSA
- 3 – ECDSA
- 4 – Ed25519
Tipo di impronta digitale
In SSHFP a partire dal 2012 sono definiti due tipi di impronte digitali . Ogni tipo di impronta digitale è rappresentato da un numero intero. Questi sono:
- 1 – SHA-1
- 2 – SHA-256
Come faccio a generare record SSHFP?
Puoi usare ssh-keygen per generare i record usando il -r parametro, seguito dal nome host (che non influisce sulle impronte digitali, quindi puoi specificare quello che preferisci)
Esempio
Usando ssh-keygen e CentOS:
[[email protected] ~]# ssh-keygen -r my.domain.com
my.domain.com IN SSHFP 1 1 450c7d19d5da9a3a5b7c19992d1fbde15d8dad34
my.domain.com IN SSHFP 2 1 72d30d211ce8c464de2811e534de23b9be9b4dc4
Nota
A volte ssh-keygen chiederà l'ubicazione del certificato pubblico. Se richiesto, dovrai eseguire ssh-keygen più volte e ogni volta specifica un certificato diverso per assicurarti di generare tutti i record SSHFP necessari. Le tue chiavi pubbliche di solito si trovano in /etc/ssh .