Настраиваем SSHFP на Ubuntu Server

SSHFP (SSH Fingerprint DNS Resource Record) — это технология позволяющая SSH-клиенту дополнительно идентифицировать предъявляемые узлом, к которому идёт подключение, данные о RSA/DSA/ECDSA/EC-ключах. Стартово описывается в RFC 4255, поддержка более новой криптографии с EC и SHA-256 добавляется в RFC 6594. По факту почти не используется из-за трудоёмкости обновления данных о SSH-сертификатах в DNS и отсутствием поддержки со стороны клиентов.

Единственным необходимым шагом является распространение отпечатков SSH в DNS. Чтобы добиться этого, отпечатки должны быть сгенерированы / указаны на самом сервере SSH. Сгенерировать отпечатки можно командой ssh-keygen -r name.

Генерируем SSHFP записи

Перечисляем отпечатки для всех доступных алгоритмов открытого ключа (RSA, DSA, ECDSA, Ed25519) в SHA1 и SHA256:

ssh-keygen -r pro-gram.ru.

Команда выдаст следующий результат:

pro-gram.ru. IN SSHFP 1 1 a6471490667c2395d09032399496f698034d86af
pro-gram.ru. IN SSHFP 1 2 87b985ee61f32e425eabw1af192805335c893w015a0744a799b13c3eca4f7d1c
pro-gram.ru. IN SSHFP 2 1 05a0caa8b41716dbb4fc6e943ea43e3e21695e22
pro-gram.ru. IN SSHFP 2 2 8f5df9b0799d81122b4484761890jd12fd71ef4066db92fwwcb7bd5b1bc97fdb
pro-gram.ru. IN SSHFP 3 1 a60658b5e7bb01d9acbd1332abaf4d74d18e6b80
pro-gram.ru. IN SSHFP 3 2 b9e9eebed8dd45d806965307b752ff29b34fb8c8102169ef571ae309cfac8d60
pro-gram.ru. IN SSHFP 4 1 7729a6ff82eb73645a573b18ca58499af8cbd3f6
pro-gram.ru. IN SSHFP 4 2 5ac9778f1efe4ec8a4d7ccd9aeac786d0f0e4e2bfe0f0d0fa5ba0cebe1591fb8

После того, как эти записи будут помещены в зону DNS-сервера (и подписаны через DNSSEC), они могут быть запрошены и проверены с помощью DNSSEC.

Проверка SSHFP

Для проверки в терминале набираем следующее:

dig pro-gram.ru sshfp +dnssec

или

dig @pro-gram.ru pro-gram.ru sshfp +dnssec

Результат запроса будет приблизительно такой:

;; ANSWER SECTION:
pro-gram.ru. 14400 IN SSHFP 1 1 A6471490667C1895D09032399496F698034D86AF
pro-gram.ru. 14400 IN SSHFP 2 1 05A0CAA8B41716DBB4FC6E943EA43E3E21695E22
pro-gram.ru. 14400 IN SSHFP 3 1 A60658B5E7BB01D9ACBD1332ABAF4D74D18E6B80
pro-gram.ru. 14400 IN SSHFP 2 2 8F5DF9B0799D81122B4484761890D12FD71EF4066D5B92FCCB7BD5B1 BC97FDB9
pro-gram.ru. 14400 IN SSHFP 4 2 5AC9778F1EFE4EC8A4D7CCD9AEAC786D0F0E4E2BFE0F0D0FA5BA0CEB E1591FB8
pro-gram.ru. 14400 IN SSHFP 4 1 7729A6FF82EB73655A573B18CA58499AF8CBD3F6
pro-gram.ru. 14400 IN SSHFP 1 2 87B985EE61F32E425EABA1AF192805335C893A015A0744A799B13C3E CA4F7D1C
pro-gram.ru. 14400 IN SSHFP 3 2 B9E9EEBED8DD45D806965307B752FF29BFB8C810251169EF571AE309 CFAC8D60
pro-gram.ru. 14400 IN RRSIG SSHFP 5 2 14400 20181018061512 20180918061225 27942 pro-gram.ru. SjG8KWy6TVmrTMi8LgVxxf76SkHcfsdLMEHOITrQngHQfScukaA/tzsr GUpV9tRCay1JEK96e9o3Msj1q3eJ4LGwcXHhc8WLWlPbanoGgRcU+7Dl +f24fb5S+qojLGUP56Ejd5X7wDRvgGZIX2FyjYQHZgL7jZktXJAnITtZ 4T1CSBKGsI1/Oq01aQQNkHKkSTtrFRXkc6Bn31RRDhGPnr2y5AxlexFs rvHFnJ5/eQNWthaWqRem6HKq4QDxYJokgoQ0cbduh53LWvO5k3GpjpUm M7CR+mNbUEsGMSpTY8Xsk+LB/DtLZrMts6UJelsWZQMeeuseIScHk28k cu4hNQ==

Напомню что SSHFP работает только при настроенной технологии DNSSEC.

Если у Вас еще не настроен DNSSEC смотрим статью — Настройка DNSSEC на Ubuntu Server.

Если есть вопросы, то пишем в комментариях и не забываем проголосовать за статью.
Настраиваем SSHFP на Ubuntu Server
5 (100%) 2 votes

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Меню
Рейтинг@Mail.ru