ssh の VerifyHostKeyDNS を使ってみようと思い、DNSにsshfpを登録してみた。
結論から言うと失敗で、DNSSECでadフラグが立つ(=ルートからの信頼チェーンが成功する)必要があり、オレオレ認証のDNSではinsecureなkeyとして扱われるらしい。
デバッグオプション付けると以下のようなメッセージが出る
debug1: found 2 insecure fingerprints in DNS
matching host key fingerprint found in DNS
一応、DNSからhostkey 入手してマッチング成功ではあるのだが、信頼できないのでknown_hostsに登録しないとダメっぽい。
信頼できるキーの場合はknown_hostsになくても大丈夫らしいのだが、試す環境がないので不明。
まあせっかく作ったからこのままにするか
やり方としては
ssh-keygen -r hostName でSSHFPのキーが出てくるのでそれをDNSに登録するだけ。keyを指定するなら
ssh-keygen -r hostName -f /etc/ssh/ssh_host_algorithm_key.pub
コメントを残す