我有一个 Debian Jessie 服务器,我想验证关于DNS SSHFP 记录的 SSH HostKey 。我只提供ed25519和rsa算法来连接服务器。我已将服务器 FQDN 伪装成 kronos.example.local。
我使用此命令为 ed25519 算法生成指纹
root@kronos:~# ssh-keygen -r kronos.example.local -f /etc/ssh/ssh_host_ed25519_key
kronos.example.local IN SSHFP 4 1 f6291b4afb2b18cb3042e9dc01bd15efca7f5d5e
kronos.example.local IN SSHFP 4 2 7b2e9286d0969618ccb88d954587ac82f2ad471c34d07d25d91f9905b86f152d
这个是 rsa 的
root@kronos:~# ssh-keygen -r kronos.example.local -f /etc/ssh/ssh_host_rsa_key
kronos.example.local IN SSHFP 1 1 365f966468f59ed889fb9d94c25f8f6cb858aa7a
kronos.example.local IN SSHFP 1 2 162f0117baae8380427698ba8800bdef36e150e6014f220b568d85445832d050
我用 dig 来检查我的客户端机器上的记录。
volker@vm23 ~ $ dig SSHFP kronos.example.local
;; ANSWER SECTION:
kronos.example.local. 600 IN SSHFP 1 2 162F0117BAAE8380427698BA8800BDEF36E150E6014F220B568D8544 5832D050
kronos.example.local. 600 IN SSHFP 4 2 7B2E9286D0969618CCB88D954587AC82F2AD471C34D07D25D91F9905 B86F152D
kronos.example.local. 600 IN SSHFP 4 1 F6291B4AFB2B18CB3042E9DC01BD15EFCA7F5D5E
kronos.example.local. 600 IN SSHFP 1 1 365F966468F59ED889FB9D94C25F8F6CB858AA7A
SSHFP 记录是正确的,我在我的 ssh 配置中添加了设置 StrictHostKeyChecking 和 VerifyHostKeyDNS 以验证关于 SSHFP 记录的 ssh 指纹。
Host kronos
Hostname kronos.example.local
Port 30
User root
Compression yes
IdentityFile ~/.ssh/ssh.key
PasswordAuthentication no
PubkeyAuthentication yes
RSAAuthentication no
StrictHostKeyChecking yes
VerifyHostKeyDNS yes
现在,当我想连接到服务器时,我收到一个错误,我的 ssh-client 因为指纹错误而无法建立连接?
volker@vm23 ~ $ ssh kronos
No ED25519 host key is known for [kronos.example.local]:30 and you have requested strict checking.
Host key verification failed.
为什么我得到这个错误,我不知道我做错了什么。
编辑:
当我刷新 known_hosts 文件并再次连接时,我会使用提供的指纹收到此消息。
The authenticity of host '[kronos.example.local]:30 ([192.168.2.100]:30)' can't be established.
ED25519 key fingerprint is SHA256:ey6ShtCWlhjMuI2VRYesgvKtRxw00H0l2R+ZBbhvFS0.
StrictHostKeyChecking yes
防止 openssh 自动将新的 HostKeys 添加到known_hosts
文件中。您需要known_hosts
手动将其添加或设置StrictHostKeyChecking no
为您的第一个连接。然后将询问您是否要添加它。之后,您可以将其设置回StrictHostKeyChecking yes
.