ホストのDNSにSSHFPレコードを設定する必要があります。いくつか検索しましたが、良い例は見つかりませんでした。
- SSHFPレコードとは何ですか?
- SSHFPレコードはどのように見えますか?
- SSHFPレコードを作成するにはどうすればよいですか?
承認された回答:
SSHFPレコードとは何ですか?
SSHFPレコードは、SSHに使用される公開鍵のフィンガープリントを含むDNSレコードです。これらは主にDNSSEC対応ドメインで使用されます。 SSHクライアントがサーバーに接続すると、対応するSSHFPレコードをチェックします。レコードのフィンガープリントがサーバーと一致する場合、サーバーは合法であり、安全に接続できます。
SSHFPレコードはどのように見えますか?
SSHFPレコードは、次の3つで構成されています。
- アルゴリズム
- 指紋タイプ
- 指紋(16進数)
アルゴリズム
SSHFPで定義されている4つの異なるアルゴリズムがあります2015年現在 。各アルゴリズムは整数で表されます。アルゴリズムは次のとおりです。
- 1 – RSA
- 2 – DSA
- 3 – ECDSA
- 4 – Ed25519
指紋タイプ
SSHFPでは2つの指紋タイプが定義されています2012年現在 。各指紋タイプは整数で表されます。これらは次のとおりです。
- 1 – SHA-1
- 2 – SHA-256
SSHFPレコードを生成するにはどうすればよいですか?
ssh-keygenを使用して、-rを使用してレコードを生成できます。 パラメータの後にホスト名が続きます(フィンガープリントには影響しないため、代わりに好きなものを指定できます)
例
ssh-keygenを使用する およびCentOS:
[[email protected] ~]# ssh-keygen -r my.domain.com
my.domain.com IN SSHFP 1 1 450c7d19d5da9a3a5b7c19992d1fbde15d8dad34
my.domain.com IN SSHFP 2 1 72d30d211ce8c464de2811e534de23b9be9b4dc4
注
時々ssh-keygen 公開証明書の場所を尋ねます。要求された場合は、ssh-keygenを実行する必要があります 複数回、毎回異なる証明書を指定して、必要なすべてのSSHFPレコードを確実に生成するようにします。公開鍵は通常、/etc/sshにあります。 。