主页 / server / 问题 / 848504
Accepted
Volker Raschek
Asked: 2017-05-06 08:01:10 +0800 CST

验证有关 DNS SSHFP 记录的 SSH 指纹失败

  • 772

我有一个 Debian Jessie 服务器,我想验证关于DNS SSHFP 记录的 SSH HostKey 。我只提供ed25519和rsa算法来连接服务器。我已将服务器 FQDN 伪装成 kronos.example.local。

我使用此命令为 ed25519 算法生成指纹

root@kronos:~# ssh-keygen -r kronos.example.local -f /etc/ssh/ssh_host_ed25519_key
kronos.example.local IN SSHFP 4 1 f6291b4afb2b18cb3042e9dc01bd15efca7f5d5e
kronos.example.local IN SSHFP 4 2 7b2e9286d0969618ccb88d954587ac82f2ad471c34d07d25d91f9905b86f152d

这个是 rsa 的

root@kronos:~# ssh-keygen -r kronos.example.local -f /etc/ssh/ssh_host_rsa_key
kronos.example.local IN SSHFP 1 1 365f966468f59ed889fb9d94c25f8f6cb858aa7a
kronos.example.local IN SSHFP 1 2 162f0117baae8380427698ba8800bdef36e150e6014f220b568d85445832d050

我用 dig 来检查我的客户端机器上的记录。

volker@vm23 ~ $ dig SSHFP kronos.example.local
;; ANSWER SECTION:
kronos.example.local.   600 IN  SSHFP   1 2 162F0117BAAE8380427698BA8800BDEF36E150E6014F220B568D8544 5832D050
kronos.example.local.   600 IN  SSHFP   4 2 7B2E9286D0969618CCB88D954587AC82F2AD471C34D07D25D91F9905 B86F152D
kronos.example.local.   600 IN  SSHFP   4 1 F6291B4AFB2B18CB3042E9DC01BD15EFCA7F5D5E
kronos.example.local.   600 IN  SSHFP   1 1 365F966468F59ED889FB9D94C25F8F6CB858AA7A

SSHFP 记录是正确的,我在我的 ssh 配置中添加了设置 StrictHostKeyChecking 和 VerifyHostKeyDNS 以验证关于 SSHFP 记录的 ssh 指纹。

Host                    kronos
Hostname                kronos.example.local
Port                    30
User                    root
Compression             yes        
IdentityFile            ~/.ssh/ssh.key      
PasswordAuthentication  no
PubkeyAuthentication    yes
RSAAuthentication       no
StrictHostKeyChecking   yes
VerifyHostKeyDNS        yes

现在,当我想连接到服务器时,我收到一个错误,我的 ssh-client 因为指纹错误而无法建立连接?

volker@vm23 ~ $ ssh kronos
No ED25519 host key is known for [kronos.example.local]:30 and you have requested strict checking.
Host key verification failed.

为什么我得到这个错误,我不知道我做错了什么。

编辑:

当我刷新 known_hosts 文件并再次连接时,我会使用提供的指纹收到此消息。

The authenticity of host '[kronos.example.local]:30 ([192.168.2.100]:30)' can't be established.
ED25519 key fingerprint is SHA256:ey6ShtCWlhjMuI2VRYesgvKtRxw00H0l2R+ZBbhvFS0.
domain-name-system

1 个回答

  1. Best Answer

    StrictHostKeyChecking yes防止 openssh 自动将新的 HostKeys 添加到known_hosts文件中。您需要known_hosts手动将其添加或设置StrictHostKeyChecking no为您的第一个连接。然后将询问您是否要添加它。之后,您可以将其设置回StrictHostKeyChecking yes.

    • 1

相关问题