LINUX.ORG.RU
ФорумAdmin

Как правильно использовать SSHPF в DNS


0

0

Добрый день.

Я хочу, чтобы ssh правильно и красиво воспринимал отпечатки ключей из DNS. Для этого, я создал записи типа SSHFP. Но при подключении с опцией -v, ssh возвращает мне, что

debug1: found 2 insecure fingerprints in DNS

Как я понял из кас 4255:

Clients that do validate the DNSSEC signatures themselves SHOULD use
standard DNSSEC validation procedures.

Я подписал всю зону DNS по руководству https://www.ripe.net/projects/disi//dnssec_howto/dnssec_howto-v1.6.html. Теперь, я вижу в DNS записи о подписи моих отпечатков SSH. Кусок возврата dig -t any выглядит так:

nlink.example.ru. 7200 IN SSHFP 2 1 D3FE8B44D74E91D6F79FECDFE3042956A387B1B9
nlink.example.ru. 7200 IN SSHFP 1 1 FFFF1A4D189A54FCB675B9D76DA1B406F728AB82
nlink.example.ru. 7200 IN RRSIG SSHFP 5 3 7200 20090401111251 20090302111251 60933 example.ru. XFE2qXQxq73A+fsAG3OKDgRJd1nmIuoddX4+L5JUf9OKPi6ut10ZWP+K 3ompNTOneQf6ks+GVHuAOnRa5S86U5lP3W9ZMv4o8zxBlZn8606uzBi6 398u3uFZa34yicI5F0z5DqwRhOtYLnaJjp7LnkSwAyCtHwgkJXBKPCul HW4=
nlink.example.ru. 7200 IN RRSIG SSHFP 5 3 7200 20090401111251 20090302111251 36184 example.ru. BNR+ohyG3SS3/+0n+hoSwI2Yk63Kl6D04K2bMAM4uURmoFNfAIyCbZCm o3v8bqDlatAWCOitYaVB2pOWKIHjBT4AyMMDZkIXmQhOtMmsnkWXgJ/E ifDJVnShVYF9mwZWye6RXoWmTp+9TuTtKwfx41KICRqdjlH6oWYmYJjk GJU=

Но при этом, если я подключаюсь к узлу nlink.example.ru, ssh -v по-прежнему выдает сообщения о том, что отпечатки ключей не безопасны:
found 2 insecure fingerprints in DNS

Так как же их сделать безопасными? Ведь именно в этом случае, ssh больше не будет меня спрашивать, хочу ли я принять эти ключи, а будет делать это сам молча.


Ответ на: комментарий от mator

в "man ssh_config" написано:

Insecure fingerprints will be handled as if
this option was set to “ask”.

Так вот у меня и вопрос вообще о том, что делать, чтобы эти ключи не были insecure.

>попробуйте сначала без него?

Пробовал. Все выглядело точно так же. Потому и решил попробовать DNSSEC (про него же не зря в RFC написано).

Noldor
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.