sshfp – nu med sha256

Vi havde en fejl i et check der umuliggjorde andet end SHA1 værdier til SSHFP, dette er nu rettet og følgende forklaring er nu gyldig 🙂

 

SSHFP (service)

DNS SSHFP records and SSH fingerprints
Preference 1:
Value Algorithm name
—– ————–
0 reserved
1 RSA
2 DSA
3 ECDSA

Preference 2:
Value Algorithm name
—– ————–
0 reserved
1 SHA1
2 SHA256

Hash værdien:
awk ‘{print $2}’ /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl sha1

feks: 290E37C5B5DB9A1C455E648A41AF3CC83F99F102

sha256:

awk ‘{print $2}’ /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl dgst -sha256

feks: 8525713c6aff97fe171d771ecdf95f78efb191c1bbab0be0dcf9a3537c867a92

ssh’s kan nu laves med -o VerifyHostKeyDNS=yes, eller ‘VerifyHostKeyDNS yes’ i ssh_config

Med en -v kan du se om det har effekt:

virker ikke endnu:
DNS lookup error: data does not exist

virker:
debug1: matching host key fingerprint found in DNS