验证有关 DNS SSHFP 记录的 SSH 指纹失败

验证有关 DNS SSHFP 记录的 SSH 指纹失败

我有一台 Debian Jessie 服务器,我想验证有关DNS SSHFP 记录。我仅提供 ed25519 和 rsa 算法来连接服务器。我已将服务器 FQDN 伪装为 kronos.example.local。

我使用此命令生成 ed25519 算法的指纹

root@kronos:~# ssh-keygen -r kronos.example.local -f /etc/ssh/ssh_host_ed25519_key
kronos.example.local IN SSHFP 4 1 f6291b4afb2b18cb3042e9dc01bd15efca7f5d5e
kronos.example.local IN SSHFP 4 2 7b2e9286d0969618ccb88d954587ac82f2ad471c34d07d25d91f9905b86f152d

这是 rsa 的

root@kronos:~# ssh-keygen -r kronos.example.local -f /etc/ssh/ssh_host_rsa_key
kronos.example.local IN SSHFP 1 1 365f966468f59ed889fb9d94c25f8f6cb858aa7a
kronos.example.local IN SSHFP 1 2 162f0117baae8380427698ba8800bdef36e150e6014f220b568d85445832d050

我使用 dig 检查了客户端机器上的记录。

volker@vm23 ~ $ dig SSHFP kronos.example.local
;; ANSWER SECTION:
kronos.example.local.   600 IN  SSHFP   1 2 162F0117BAAE8380427698BA8800BDEF36E150E6014F220B568D8544 5832D050
kronos.example.local.   600 IN  SSHFP   4 2 7B2E9286D0969618CCB88D954587AC82F2AD471C34D07D25D91F9905 B86F152D
kronos.example.local.   600 IN  SSHFP   4 1 F6291B4AFB2B18CB3042E9DC01BD15EFCA7F5D5E
kronos.example.local.   600 IN  SSHFP   1 1 365F966468F59ED889FB9D94C25F8F6CB858AA7A

SSHFP 记录是正确的,我在我的 ssh 配置中添加了设置 StrictHostKeyChecking 和 VerifyHostKeyDNS 来验证有关 SSHFP 记录的 ssh 指纹。

Host                    kronos
Hostname                kronos.example.local
Port                    30
User                    root
Compression             yes        
IdentityFile            ~/.ssh/ssh.key      
PasswordAuthentication  no
PubkeyAuthentication    yes
RSAAuthentication       no
StrictHostKeyChecking   yes
VerifyHostKeyDNS        yes 

现在,当我想要连接到服务器时,出现错误,我的 ssh 客户端无法建立连接,因为指纹错误?

volker@vm23 ~ $ ssh kronos
No ED25519 host key is known for [kronos.example.local]:30 and you have requested strict checking.
Host key verification failed.

为什么我会收到这个错误,我不知道我做错了什么。

编辑:

当我刷新known_hosts文件并再次连接时,我收到了带有所提供指纹的消息。

The authenticity of host '[kronos.example.local]:30 ([192.168.2.100]:30)' can't be established.
ED25519 key fingerprint is SHA256:ey6ShtCWlhjMuI2VRYesgvKtRxw00H0l2R+ZBbhvFS0.

答案1

StrictHostKeyChecking yes阻止 openssh 自动将新的 HostKeys 添加到文件known_hosts。您需要known_hosts手动将其添加到或StrictHostKeyChecking no为您的第一个连接设置。然后系统会询问您是否要添加它。之后您可以将其设置回StrictHostKeyChecking yes

相关内容