Добрый день.
Я хочу, чтобы ssh правильно и красиво воспринимал отпечатки ключей из DNS. Для этого, я создал записи типа SSHFP. Но при подключении с опцией -v, ssh возвращает мне, что
debug1: found 2 insecure fingerprints in DNS
Как я понял из кас 4255:
Clients that do validate the DNSSEC signatures themselves SHOULD use
standard DNSSEC validation procedures.
Я подписал всю зону DNS по руководству https://www.ripe.net/projects/disi//dnssec_howto/dnssec_howto-v1.6.html. Теперь, я вижу в DNS записи о подписи моих отпечатков SSH. Кусок возврата dig -t any выглядит так:
nlink.example.ru. 7200 IN SSHFP 2 1 D3FE8B44D74E91D6F79FECDFE3042956A387B1B9
nlink.example.ru. 7200 IN SSHFP 1 1 FFFF1A4D189A54FCB675B9D76DA1B406F728AB82
nlink.example.ru. 7200 IN RRSIG SSHFP 5 3 7200 20090401111251 20090302111251 60933 example.ru. XFE2qXQxq73A+fsAG3OKDgRJd1nmIuoddX4+L5JUf9OKPi6ut10ZWP+K 3ompNTOneQf6ks+GVHuAOnRa5S86U5lP3W9ZMv4o8zxBlZn8606uzBi6 398u3uFZa34yicI5F0z5DqwRhOtYLnaJjp7LnkSwAyCtHwgkJXBKPCul HW4=
nlink.example.ru. 7200 IN RRSIG SSHFP 5 3 7200 20090401111251 20090302111251 36184 example.ru. BNR+ohyG3SS3/+0n+hoSwI2Yk63Kl6D04K2bMAM4uURmoFNfAIyCbZCm o3v8bqDlatAWCOitYaVB2pOWKIHjBT4AyMMDZkIXmQhOtMmsnkWXgJ/E ifDJVnShVYF9mwZWye6RXoWmTp+9TuTtKwfx41KICRqdjlH6oWYmYJjk GJU=
Но при этом, если я подключаюсь к узлу nlink.example.ru, ssh -v по-прежнему выдает сообщения о том, что отпечатки ключей не безопасны:
found 2 insecure fingerprints in DNS
Так как же их сделать безопасными? Ведь именно в этом случае, ssh больше не будет меня спрашивать, хочу ли я принять эти ключи, а будет делать это сам молча.
Ответ на:
комментарий
от mator
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.