Vi havde en fejl i et check der umuliggjorde andet end SHA1 værdier til SSHFP, dette er nu rettet og følgende forklaring er nu gyldig 🙂
SSHFP (service)
DNS SSHFP records and SSH fingerprints
Preference 1:
Value Algorithm name
—– ————–
0 reserved
1 RSA
2 DSA
3 ECDSA
Preference 2:
Value Algorithm name
—– ————–
0 reserved
1 SHA1
2 SHA256
Hash værdien:
awk ‘{print $2}’ /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl sha1
feks: 290E37C5B5DB9A1C455E648A41AF3CC83F99F102
sha256:
awk ‘{print $2}’ /etc/ssh/ssh_host_dsa_key.pub | openssl base64 -d -A | openssl dgst -sha256
feks: 8525713c6aff97fe171d771ecdf95f78efb191c1bbab0be0dcf9a3537c867a92
ssh’s kan nu laves med -o VerifyHostKeyDNS=yes, eller ‘VerifyHostKeyDNS yes’ i ssh_config
Med en -v kan du se om det har effekt:
virker ikke endnu:
DNS lookup error: data does not exist
virker:
debug1: matching host key fingerprint found in DNS