Настраиваем SSHFP на Ubuntu Server

В сегодняшней статье рассмотрим использование SSHFP на Ubuntu. Это статья является продолжением статей о настройке технологии DNSSEC на Ubuntu Server.

SSHFP (SSH Fingerprint DNS Resource Record) – это технология позволяющая SSH-клиенту дополнительно идентифицировать предъявляемые узлом, к которому идёт подключение, данные о RSA/DSA/ECDSA/EC-ключах.

Единственным необходимым шагом является распространение отпечатков SSH в DNS. Чтобы добиться этого, отпечатки должны быть сгенерированы и указаны на самом сервере SSH. Сгенерировать отпечатки можно командой ssh-keygen -r name.

Генерируем SSHFP записи

Перечисляем отпечатки для всех доступных алгоритмов открытого ключа (RSA, DSA, ECDSA, Ed25519) в SHA1 и SHA256:

ssh-keygen -r obu4alka.ru.

Команда выдаст следующий результат:

 obu4alka.ru.  IN SSHFP 1 1 a6471490667c2395d09032399496f698034d86af
 obu4alka.ru.  IN SSHFP 1 2 87b985ee61f32e425eabw1af192805335c893w015a0744a799b13c3eca4f7d1c
 obu4alka.ru.  IN SSHFP 2 1 05a0caa8b41716dbb4fc6e943ea43e3e21695e22
 obu4alka.ru.  IN SSHFP 2 2 8f5df9b0799d81122b4484761890jd12fd71ef4066db92fwwcb7bd5b1bc97fdb
 obu4alka.ru.  IN SSHFP 3 1 a60658b5e7bb01d9acbd1332abaf4d74d18e6b80
 obu4alka.ru.  IN SSHFP 3 2 b9e9eebed8dd45d806965307b752ff29b34fb8c8102169ef571ae309cfac8d60
 obu4alka.ru.  IN SSHFP 4 1 7729a6ff82eb73645a573b18ca58499af8cbd3f6
 obu4alka.ru. . IN SSHFP 4 2 5ac9778f1efe4ec8a4d7ccd9aeac786d0f0e4e2bfe0f0d0fa5ba0cebe1591fb8

После того, как эти записи будут помещены в зону DNS-сервера (и подписаны через DNSSEC), они могут быть запрошены и проверены с помощью всё той же технологии DNSSEC.

Проверка SSHFP

Для проверки в терминале набираем следующее:

dig obu4alka.ru. sshfp +dnssec

или

dig @obu4alka.ru. obu4alka.ru. sshfp +dnssec

Результат запроса будет приблизительно такой:

;; ANSWER SECTION:
obu4alka.ru.        14400   IN  SSHFP   1 1 A6471490667C1895D09032399496F698034D86AF
obu4alka.ru.        14400   IN  SSHFP   2 1 05A0CAA8B41716DBB4FC6E943EA43E3E21695E22
obu4alka.ru.        14400   IN  SSHFP   3 1 A60658B5E7BB01D9ACBD1332ABAF4D74D18E6B80
obu4alka.ru.        14400   IN  SSHFP   2 2 8F5DF9B0799D81122B4484761890D12FD71EF4066D5B92FCCB7BD5B1 BC97FDB9
obu4alka.ru.        14400   IN  SSHFP   4 2 5AC9778F1EFE4EC8A4D7CCD9AEAC786D0F0E4E2BFE0F0D0FA5BA0CEB E1591FB8
obu4alka.ru.        14400   IN  SSHFP   4 1 7729A6FF82EB73655A573B18CA58499AF8CBD3F6
obu4alka.ru.        14400   IN  SSHFP   1 2 87B985EE61F32E425EABA1AF192805335C893A015A0744A799B13C3E CA4F7D1C
obu4alka.ru.        14400   IN  SSHFP   3 2 B9E9EEBED8DD45D806965307B752FF29BFB8C810251169EF571AE309 CFAC8D60
obu4alka.ru.       14400   IN  RRSIG   SSHFP 5 2 14400 20181018061512 20180918061225 27942 obu4alka.ru. SjG8KWy6TVmrTMi8LgVxxf76SkHcfsdLMEHOITrQngHQfScukaA/tzsr GUpV9tRCay1JEK96e9o3Msj1q3eJ4LGwcXHhc8WLWlPbanoGgRcU+7Dl +f24fb5S+qojLGUP56Ejd5X7wDRvgGZIX2FyjYQHZgL7jZktXJAnITtZ 4T1CSBKGsI1/Oq01aQQNkHKkSTtrFRXkc6Bn31RRDhGPnr2y5AxlexFs rvHFnJ5/eQNWthaWqRem6HKq4QDxYJokgoQ0cbduh53LWvO5k3GpjpUm M7CR+mNbUEsGMSpTY8Xsk+LB/DtLZrMts6UJelsWZQMeeuseIScHk28k cu4hNQ==

Напомню что SSHFP работает только при настроенной технологии DNSSEC.

Если у Вас еще не настроен DNSSEC смотрим статью – Настройка DNSSEC на Ubuntu Server.

[endtxt]