Хранение открытых ключей SSH в DNS

Published on Апрель 23, 2009 by   ·   Комментариев нет

Хранение открытых ключей SSH в DNS Автор: Игорь Чубин Написано на основе: http://www.debian-administration.org/articles/503 На этой странице описывается как организовать хранение открытых ключей SSH в DNS и обеспечить дополнительную проверку подлинности удалённого хоста с их помощью. adidas y3 pas cher Описываемый способ повышения безопасности SSH является спорным. Asics GT 2160 Если кому-то удалось выполнить MITM-атаку и внедриться внутрь SSH-сеанса, он точно также сможет выполнить и DNS-spoofing. Он будет намного более ценным, когда будет доступна поддержка DNSSEC. При подключении к очередному новому SSH серверу вам на экран выдаётся приглашение с информацией об открытом ключе сервера. Тем самым сервер пытается доказать вам свою подлинность. Как вы проверяете, что этот сервер действительно тот, за кого себя выдаёт? В идеале, вы должны знать отпечаток ключа сервера, который можно получить с помощью команды ssh-keygen, находясь на самом сервере.

 igor@chub:in$ ssh xgu.ru The authenticity of host &#039;xgu.ru (194.150.93.78)&#039; can&#039;t be established. RSA key fingerprint is fb:a6:01:55:48:7d:2b:2c:23:ff:37:99:c8:0e:65:36. Are you sure you want to continue connecting (yes/no)? no Host key verification failed. <a href="http://www.viewcollegeteams.com/">Authentic College Jerseys</a> igor@chub:in$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub 1024 fb:a6:01:55:48:7d:2b:2c:23:ff:37:99:c8:0e:65:36 /etc/ssh/ssh_host_rsa_key.pub

Вы должны знать отпечатки ключей (key fingerprint) — записать их или сохранить на каком-то носителе, который всегда с вами. UCF Knights После первого подключения ключ сохраняется в файле ~/.ssh/known_hosts (либо вместе с именем/адресов хоста, которому соответствует ключ, либо, в более новых версиях, с хэшем этого адреса; если нужно хранить адрес не в хэшированном виде, установите HashKnownHosts no в /etc/ssh/ssh_config или в ~/.ssh/config). Maglia Patrick Ewing При последующих подключениях сравнение происходит с этим ключом. Если замечены отличия, ssh сообщит вам о них, и подключиться, в общем случае, уже не получится. new balance 373 uomo prezzo Наиболее небезопасным является именно момент первого подключения и первого набора слова yes. Некоторые организации размещают свои ключи на доступных по сети ресурсах, например, в Web, другие — полагаются на то, что пользователь/администратор запомнит эти ключи сам. Как правило, в последнем случае yes просто набирается вслепую. Построение списка ключей Клиент ssh помимо традиционно используемого пользовательского файла ~/.ssh/known_hosts в поиска отпечатков ключей может читать и

can i get my ex back

глобальный файл /etc/ssh/ssh_known_hosts, если он существует.

buy cheap cigarettes

Создать такой файл, который будет содержать, например, ключи хостов в локальной сети, можно с помощью программы ssh-keyscan.

 ssh-keyscan -t rsa,dsa cfmaster.my.flat >> /etc/ssh/ssh_known_hosts ssh-keyscan -t rsa,dsa cfmaster >> /etc/ssh/ssh_known_hosts ssh-keyscan -t rsa,dsa mine.my.flat >> /etc/ssh/ssh_known_hosts ssh-keyscan -t rsa,dsa mine >> /etc/ssh/ssh_known_hosts ssh-keyscan -t rsa,dsa yours.my.flat >> /etc/ssh/ssh_known_hosts ssh-keyscan -t rsa,dsa yours >> /etc/ssh/ssh_known_hosts

или ещё проще

 for host in {cfmaster,mine,yours}{,.my.flat} do ssh-keyscan -t rsa,dsa $host done

Обратите внимание, что для каждого хоста команда выполняется дважды: с его коротким и длинным именем. Canotta Donne Ключ ищется по имени, которое точно соответствует имени, указанному при вызове ssh. adidas hamburg При доступе по IP-адресам в данном случае приглашение будет по-прежнему выводиться. adidas zx flux pas cher Хранение открытых ключей SSH в DNS В современных версиях SSH-клиентов, есть возможность проверить ключ на соответствие ключу, хранящемуся в DNS. Эта возможность включается при помощи опции VerifyHostKeyDNS в конфигурационном файле программы ssh. Если ключ найден в DNS сообщение будет выглядеть так:

 %$ ssh localhost -o "VerifyHostKeyDNS=yes" yes authenticity of host &#039;localhost (127.0.0.1)&#039; can&#039;t be established.  <a href="http://www.vyatiosys.fr/">adidas femme pas cher</a> RSA key fingerprint is 2d:d3:29:bd:4d:e2:7d:a3:b0:15:96:26:d4:60:13:34. <a href="http://www.nikeairmax2017goedkoop.nl/andere-nike/nike-air-huarache-dame.html">Nike Air Huarache Dame</a> Matching host key fingerprint found in DNS. Are you sure you want to continue connecting (yes/no)?

В противном слуае сообщение будет выглядеть иначе:

 RSA key fingerprint is 2d:d3:29:bd:4d:e2:7d:a3:b0:15:96:26:d4:60:13:34. No matching host key fingerprint found in DNS. <a href="http://cabinet-ricciardi-drouillet.com/wp-content/gallery/cache/">air max 1 pas cher</a> Are you sure you want to continue connecting (yes/no)?

Создание записей DNS о ключах выполняется так:

 %$ ssh-keygen -r $(hostname --fqdn) -f /etc/ssh/ssh_host_rsa_key.pub xgu.ru.  <a href="http://www.vyatiosys.fr/adidas-zx-850.html">adidas zx 850</a> IN SSHFP 1 1 4db0d50059205a85dc890b6ce430e1af96ac0f74

Будет создана RR-запись на основе существующего файла. NIKE TANJUN Также можно использовать скрипт:

 #!/usr/bin/gawk -f # taken from: http://msgs.securepoint.com/cgi-bin/get/djbdns-0702/5.html # modified by Daniel Kahn Gillmor <dkg-debian.org@fifthhorseman.net.> # example: ssh_host_key_to_sshfp $(hostname --fqdn) </etc/ssh/ssh_host_rsa_key.pub BEGIN { hostname=ARGV[1] keygen="ssh-keygen -gr " hostname " -f /dev/stdin" while(keygen | getline) { if($8) { rr=sprintf(":%s:44:\\%03.3o\\%03.3o", hostname, $6, $7) for(i=1; i<length($8); i+=2) { rr=sprintf("%s\\%03.3o", rr, strtonum("0x" substr($8, i, 2))) } print "# " $0 print rr ":::" } } }

Пример вызова:

 %# ssh_host_key_to_sshfp $(hostname --fqdn) </etc/ssh/ssh_host_rsa_key.pub

Полученная запись должна быть добавлена в файл соответствующей зоны DNS.


Смотрите также:

Readers Comments (Комментариев нет)

Comments are closed.



Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]