ホストのDNSにSSHFPレコードを設定する必要があります。いくつか検索を行いましたが、良い例は見つかりませんでした。
SSHFPレコードは、SSHに使用される公開鍵のフィンガープリントを含むDNSレコードです。それらは主にDNSSEC対応ドメインで使用されます。 SSHクライアントがサーバーに接続すると、対応するSSHFPレコードがチェックされます。レコードのフィンガープリントがサーバーと一致する場合、サーバーは合法であり、接続しても安全です。
SSHFPレコードは次の3つで構成されます。
SSHFPで定義された4つの異なるアルゴリズムが2015年現在あります。各アルゴリズムは整数で表されます。アルゴリズムは次のとおりです。
SSHFPでは2つの指紋タイプが定義されています。2012年現在。各指紋タイプは整数で表されます。これらは:
ssh-keygen
を使用して、 -r
パラメータを使用してレコードを生成し、その後にホスト名(フィンガープリントには影響しないため、代わりにあなたが好きなもの)
ssh-keygen
およびCentOSの使用:
[root@localhost ~]# ssh-keygen -r my.domain.com
my.domain.com IN SSHFP 1 1 450c7d19d5da9a3a5b7c19992d1fbde15d8dad34
my.domain.com IN SSHFP 2 1 72d30d211ce8c464de2811e534de23b9be9b4dc4
ssh-keygen
が公開証明書の場所を尋ねる場合があります。必要に応じて、 ssh-keygen
を複数回実行し、毎回異なる証明書を指定して、必要なすべてのSSHFPレコードを確実に生成するようにします。公開鍵は通常/etc/ssh
にあります。
名前付きエンティティのDNSベースの認証 (DANE)( RFC 6698 )は潜在的な後継者ですSSHFP RRに。 DANEはSSHFP RRとよく似ていますが、SSHに限定されません。代わりに、非常によく似た形式で TLSA RR を使用します。
ssh-keygen
は既存のキーで動作します。そうでない場合でも、簡単にそれらをシェル(私が好む)で組み立てることができ、豪華なソフトウェアやリモートインターフェースは必要ありません。
前述のようなレコード...
my.domain.com IN SSHFP 2 1 72d30d211ce8c464de2811e534de23b9be9b4dc4
... 6つのパーツがある:
part 1: hostname
part 2: Usually "IN" for internet
part 3: "SSHFP", the RR name for type 44
part 4: RSA keys = "1"
DSA keys = "2"
ECDSA keys = "3"
ED25519 keys = "4"
part 5: The algorithm type:
SHA-1 = "1"
SHA-256 = "2"
part 6: You can generate, for example:
$ awk '{print $2}' /etc/ssh/ssh_Host_dsa_key.pub | \
openssl base64 -d -A | openssl sha1
それを利用するには、VerifyHostKeyDNS ask
SSHクライアントの設定、通常は~/.ssh/config
。
古いバージョンのssh-keygenは、使用可能なすべての鍵を生成しません(たとえば、ecdsaおよびsha256のサポートなし)。このスクリプトは、/etc/ssh/
にある使用可能なすべてのキーのすべてのレコードを作成します。
#!/bin/bash
#
# Creates SSHFP Records for all available keys
#
Host="${1-$(hostname -f)}"
if [[ "$1" == "-h" || "$1" == "--help" ]]
then
echo "Usage: sshfpgen <hostname>"
fi
if which openssl >/dev/null 2>&1
then
if ! which sha1sum >/dev/null 2>&1
then
sha1sum() {
openssl dgst -sha1 | grep -E -o "[0-9a-f]{40}"
}
fi
if ! which sha256sum >/dev/null 2>&1
then
sha256sum() {
openssl dgst -sha256 | grep -E -o "[0-9a-f]{64}"
}
fi
fi
for pubkey in /etc/ssh/ssh_Host_*_key.pub /etc/ssh_Host_*_key.pub
do
case "$(cut -d _ -f3 <<< "$pubkey")"
in
rsa)
echo "$Host IN SSHFP 1 1 $(cut -f2 -d ' ' "$pubkey" | base64 --decode | sha1sum | cut -f 1 -d ' ')"
echo "$Host IN SSHFP 1 2 $(cut -f2 -d ' ' "$pubkey" | base64 --decode | sha256sum | cut -f 1 -d ' ')"
;;
dsa)
echo "$Host IN SSHFP 2 1 $(cut -f2 -d ' ' "$pubkey" | base64 --decode | sha1sum | cut -f 1 -d ' ')"
echo "$Host IN SSHFP 2 2 $(cut -f2 -d ' ' "$pubkey" | base64 --decode | sha256sum | cut -f 1 -d ' ')"
;;
ecdsa)
echo "$Host IN SSHFP 3 1 $(cut -f2 -d ' ' "$pubkey" | base64 --decode | sha1sum | cut -f 1 -d ' ')"
echo "$Host IN SSHFP 3 2 $(cut -f2 -d ' ' "$pubkey" | base64 --decode | sha256sum | cut -f 1 -d ' ')"
;;
ed25519)
echo "$Host IN SSHFP 4 1 $(cut -f2 -d ' ' "$pubkey" | base64 --decode | sha1sum | cut -f 1 -d ' ')"
echo "$Host IN SSHFP 4 2 $(cut -f2 -d ' ' "$pubkey" | base64 --decode | sha256sum | cut -f 1 -d ' ')"
;;
esac
done
編集:* BSDサポート付きのalex-dupuyからのPR付きの新しいバージョン。
https://github.com/mindfuckup/Scripts/blob/master/sshfpgen
これが Ansible を介してSSHFPレコードを取得する方法です。
- name: Capture the SSHFP entries
Shell: "ssh-keygen -r {{ ansible_nodename }}|awk '{print $4, $5, $6}'"
register: sshfp_entries
Puppetを使用する場合、facter
にはsshfp
のサポートが組み込まれています。さらに、PuppetDBを使用している場合は、すべてのホストのこの情報を簡単に抽出できます。
facter | grep -i sshfp
sshfp_dsa => SSHFP 2 1 e1a3e639d6dbd48d3964ebfb772d2d11f1065682
SSHFP 2 2 4f620ce2bc97d91ae5eff42fba621d65b677ab725f275f56b2abd1303c142b73
sshfp_rsa => SSHFP 1 1 a78351af371faf3f19533c3a4a9e967543d7d2f5
SSHFP 1 2 795943a6ee8b53c818cfef5781209e25a6eb4bc386813db60d3ff2c1569692fc