ホストのDNSにSSHFPレコードを設定する必要があります。いくつかの検索をしてみましたが、良い例が見つかりませんでした。
- SSHFPレコードとは何ですか?
- SSHFPレコードはどのようなものですか?
- SSHFPレコードをどのように生成しますか?
ベストアンサー1
SSHFPレコードとは何ですか?
SSHFPレコードは、SSHで使用される公開鍵の指紋を含むDNSレコードです。主にDNSSECサポートドメインと一緒に使用されます。 SSHクライアントがサーバーに接続したら、対応するSSHFPレコードを確認します。履歴指紋がサーバーと一致する場合、そのサーバーは正当かつ安全に接続できるようになります。
SSHFPレコードはどのようなものですか?
SSHFPレコードは3つの部分で構成されています。
- 公開鍵アルゴリズム
- 指紋タイプ
- 指紋(16進数)
公開鍵アルゴリズム
SSHFPには5つのアルゴリズムが定義されています。2021年基準。各アルゴリズムは整数で表されます。アルゴリズムは:
- 1-RSA
- 2-DSA
- 3 - 楕円曲線デジタル署名アルゴリズム
- 4-Ed25519
- 6 - Ed448
指紋タイプ
SSHFPには2つの指紋タイプが定義されています。2012年基準。各指紋タイプは整数で表されます。これらはすべて:
- 1-SHA-1
- 2-SHA-256
SSHFPレコードを生成する方法は?
あなたはそれを使用することができますSSHキージェネレータパラメータとホスト名を使用してローカルにレコードを生成します。-r
これは指紋に影響を与えないため、必要に応じて指定できます。
-D
ssh-keyscanを使用すると、ホスト名の後にパラメータを使用してリモートサーバーのレコードを生成できます。
はい
使用ssh-keygen
とCentOS:
[root@localhost ~]# ssh-keygen -r my.domain.com
my.domain.com IN SSHFP 1 1 450c7d19d5da9a3a5b7c19992d1fbde15d8dad34
my.domain.com IN SSHFP 2 1 72d30d211ce8c464de2811e534de23b9be9b4dc4
ノート
場合によってssh-keygen
は、認定証明書の場所を尋ねることがあります。要求する場合は、ssh-keygen
必要なすべてのSSHFPレコードが生成されるように、毎回異なる証明書を指定して複数回実行する必要があります。公開鍵は通常にあります/etc/ssh
。