L’enregistrement DNS SSHFP (SSHFP pour Secure SHell (Key) FingerPrint) est un enregistrement DNS de clefs publiques SSH (merci WikipĂ©dia 😉)

⚠ SSHFP nĂ©cessite la mise en place de DNSSEC sur son serveur dns. PLus d’infos ici ⚠

Pour générer les enregistrements SSHFP, il faut lancer la commande suivante :

ssh-keygen -r mamachine
mamachine IN SSHFP 1 1 3b8eae08f84e97e36f93d470b20697e33c8f4ff6
mamachine IN SSHFP 1 2 aeda7980f293a47f1573739ae29808a3a95d65b8f12427ab4830dc1a67486844
mamachine IN SSHFP 2 1 50767c3ee5abc4fe84aaee5ea7edd641af115776
mamachine IN SSHFP 2 2 22edfe1d1585db2cad33ed6e934e3f3d714135bb7fa43d5184afed915c21ee84
mamachine IN SSHFP 3 1 24f73047a701396def60c701bd41d3b5a5c341d1
mamachine IN SSHFP 3 2 a2c2cf4a984904432fbc159e48c411c5a7137f1cb48ad7d4ba81c032a06c2c12
mamachine IN SSHFP 4 1 c15e9e035d8e6aa02532b90d3a3e3b49567033ef
mamachine IN SSHFP 4 2 14ac27cec66e1f513b2347c09649d1accefe324587b27c8faf87c8e10ee4d1ac

Plusieurs enregistrements sont générés. La structure est composée des eléments suivants :

  • <Nom>
    Le nom de domaine de l’objet pour lequel l’enregistrement DNS appartient

  • <TTL>
    Le temps de vie (en secondes) durant lequel l’enregistrement rĂ©side en cache (facultatif)

  • <Classe>
    Protocole de groupe auquel l’enregistrement de ressource appartient (facultatif)

  • <Algorithme>
    Algorithme de la clef publique (0=réservé, 1=RSA, 2=DSA, 3=ECDSA, 4=Ed25519)

  • <Type>
    Type de fonction de Hachage utilisée (0=réservé, 1=SHA-1, 2=SHA-256)

  • <Empreinte>
    Représentation hexadécimale du résultat de la fonction de hachage.

Ce qui donne :

mamachine IN SSHFP 4 2 14ac27cec66e1f513b2347c09649d1accefe324587b27c8faf87c8e10ee4d1ac

Les enregistrements SSHFP sont Ă  rajouter dans le fichier de zone DNS.

Une fois fait et les services redémarrés, on peut vérifier que les enregistrements sont ok avec la commandes suivante :

dig +short mamachine.ticloud.fr SSHFP
3 2 a2c2cf4a984904432fbc159e48c411c5a7137f1cb48ad7d4ba81c032a06c2c12
4 2 14ac27cec66e1f513b2347c09649d1accefe324587b27c8faf87c8e10ee4d1ac

Et enfin, avec ssh on peut vérifier que tout est ok :

ssh -o "VerifyHostKeyDNS yes" mamachine.ticloud.fr -v
...
debug1: found 2 secure fingerprints in DNS
debug1: matching host key fingerprint found in DNS
...
root@mamachine.ticloud.fr's password:

Et voilĂ  !

Source
Article Wikipédia