ssh と dns

ssh の VerifyHostKeyDNS を使ってみようと思い、DNSにsshfpを登録してみた。

結論から言うと失敗で、DNSSECでadフラグが立つ(=ルートからの信頼チェーンが成功する)必要があり、オレオレ認証のDNSではinsecureなkeyとして扱われるらしい。

デバッグオプション付けると以下のようなメッセージが出る

debug1: found 2 insecure fingerprints in DNS
matching host key fingerprint found in DNS

一応、DNSからhostkey 入手してマッチング成功ではあるのだが、信頼できないのでknown_hostsに登録しないとダメっぽい。

信頼できるキーの場合はknown_hostsになくても大丈夫らしいのだが、試す環境がないので不明。

まあせっかく作ったからこのままにするか

やり方としては

ssh-keygen -r hostName でSSHFPのキーが出てくるのでそれをDNSに登録するだけ。keyを指定するなら
ssh-keygen -r hostName -f /etc/ssh/ssh_host_algorithm_key.pub

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です