安全考虑

Question

OpenSSH v6.9 非常非常老了。最新的是 OpenSSH v9.0。我查看了dns.cOpenSSH 存储库的 V_6_9 分支。调试输出中要注意的关键事项是：

found 2 insecure fingerprints in DNS

意味着 DNSSEC 查找host.domain.tld不是有效的 DNS 记录（完全不安全），尽管通常会找到两个 (2) 个不同的SSHFP资源记录（无论是否安全）。

这也意味着delv host.domain.tld.不会在第一行输出预期的消息：

$ delv host.domain.tld.
; fully validated
...

虽然 DNSSEC 故障排除的范围很广，但在本文中很难找到解决方案。

我建议您将您的信息插入domain.tld两个出色的在线 DNSSEC 疑难解答程序之一，然后从那里开始：

当然，作为最后的手段，[dnssec]标签在 ServerFault（另一个 StackExchange 组）和您最喜欢的搜索引擎上，但更快地聘请内部 DNSSEC 专家来满足您的需求。

安全考虑

当然，您确实已经启动并运行了 DNSSEC？

只有通过 DNSSEC 正确签名的资源记录才能保证对 SSHFP 的保护，但是，但是...但是大多数人（和许多 ISP）不会指示他们的 DNS 解析器仅返回由 DNSSEC 确定的有效 DNS 记录；尽管如此，SSHFP 被劫持的可能性仍然存在。

这里的问题不是公钥的保密性（它并不保密）。

我们遇到的问题是保存此公钥的 DNS 记录的完整性。虽然问题陈述中的 SSHFP 密钥数据是正确的，但错误更多的是“缺乏清晰度”，但逻辑仍然是正确的。

这就是这篇原创问题帖子的结尾。但我将概述一些其他安全注意事项。

验证 SSHFP 设置

列出的七 (7) 个步骤的顺序是这样的（在前一步完成之前不要进行下一步）。

Ping host.domain.tld，得到 ICMP 响应。
执行delv host.domain.tld.并确保第一行输出显示；请注意在主机名末尾添加的; fully validated句点 ( )。.
正确EDNS(0)使用这个EDNS(0) 在线测试器针对您有问题的服务器。
从您相关的 SSH 服务器获取 SSH 指纹以开始比较；执行ssh-keyscan -D host.domain.tld. （注意-D选项）。

$ ssh-keyscan -D host.domain.tld.

输出：

host.domain.tld IN SSHFP 4 1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
host.domain.tld IN SSHFP 4 2 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

从在其区域数据库文件中保存 SSHFP 的权威名称服务器的 DNS 查询中，SSHFP使用获取记录delv host.domain.tld. SSHFP。

$ delv host.domain.tld. sshfp

生成以下输出：

; fully validated
host.domain.tld.        86400   IN  SSHFP   1 1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
host.domain.tld.        86400   IN  SSHFP   1 2 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX
host.domain.tld.        86400   IN  SSHFP   3 1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
host.domain.tld.        86400   IN  SSHFP   3 2 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX
host.domain.tld.        86400   IN  SSHFP   4 1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
host.domain.tld.        86400   IN  SSHFP   4 2 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX

将实际的 SSH 指纹与SSHFPDNS 记录的内容进行比较。算法（1-6）和哈希 ID（1 或 2）也必须匹配。

必须匹配的算法ID到名称为：1=RSA，2=DSA，3=ECDSA，4=Ed25519，6=Ed448。

必须匹配的名称的哈希 ID 为：1=SHA1、2=SHA256。

尝试ssh -oVerifyHostKeyDNS=yes -oStrictHostKeyChecking=yes host.domain.tld. 如果此步骤有效，请将两个选项集成到您的 SSH 客户端配置文件中。

如果指纹不匹配，则始终是 DNS 记录需要更新。

出现警告

使用较新的 OpenSSH，您甚至可能会在初始 SSH 登录期间收到以下令人讨厌的提示：

ssh host.domain.tld

可能输出以下内容：

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:XxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXx.
Please contact your system administrator.
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Warning: Permanently added '[host.domain.tld.]:22,[999.999.999.999]:22' (ED25519) to the list of known hosts.
</etc/motd content goes here>
[email protected].'s password:

上述输出中要注意的关键是以下一行：

Update the SSHFP RR in DNS with the new host key to get rid of this message.

它的意思就是它的意思。

本地 SSH 客户端配置VerifyHostKeyDNS yes中的控制着该输出；配置可以是在$USER/.ssh/config或在中/etc/ssh/ssh_config。

上述决定基于以下之间的简单比较：

持有SSHFP此区域数据的权威名称服务器host.domain.tld
host.domain.tld提供公钥的SSH 服务器

此消息涵盖了以下 99.999% 的潜在情景。

sshd没有使用相同的公钥，可能是因为：
- 通过以下方式生成了不同的公钥ssh-keygen（最常见）
- 一组不同的配置文件（通过sshd -c <config_file>）
- AuthorizedKeyFile已经改变
- 指纹哈希（FingerprintHash）设置已更改
- PubkeyAcceptedKeyTypes已经改变
- CASignatureAlgorithms已经改变
- TrustedCAUserKeys已经改变

其余 0.001％的时间则出现在许多不太常见的场景中：

指向不同的 SSH 服务器
- 已打开新端口号（合法或非法）。如果您的ssh_config/$HOME/.ssh/config使用了不同的端口号，则可能会发生这种情况（这种情况很少见，但确实发生过恶意事件）
- 一个（不同的？）Dockerized 容器重复使用相同的 IP 地址
- MAC 地址已更改为指向克隆服务器
- IP 过滤器（或 nftables）重新路由了你常用的 SSH 端口
- IP 路由已更改（通过路由表或各种 IP 路由协议，如 BGP、OSPF、RIP）
- 出现了一个幽灵守护进程，使得您的服务器的 rougesshd守护进程通过 SysV init 启动（service XXXX start或systemd start XXXX.service或system start XXXX.timer或偷偷通过 crond/atd 作业或甚至rc.local）并使用其自己的 SSH 服务器公钥。
指向不同的sshd可执行文件。这需要使用软件包工具（您的发行版）进行文件验证，以确保其校验和值、修改时间、文件路径、安全上下文以及sshd可执行文件及其引用库的属性（请参阅ldd/usr/sbin/sshd）均已正确计算和设置。

无论如何，一旦你消除了剩下的 0.001%，这将是一个简单的问题：

生成新的SSHFPDNS 记录（ssh-keyscan -r host.domain.tld）；将输出保存到编辑器缓冲区
识别权威名称服务器domain.tld（dig domain.tld. soa并注意MNAMESOA 记录数据的部分）。
以 root 身份登录到该MNAME权威名称服务器host.domain.tld
转到名称服务器的正确配置文件（ISC Bind9 是/etc/named.conf；较新的 Bind v9.11+ 通过显示默认配置named -V）
记下区域的数据库文件名domain.tld。（ISC Bind9 是file /var/lib/bind/db.domain.tld）
将目录更改为该区域数据库文件所在的位置
编辑db.domain.tld文件。
SSHFP从第一步保存的编辑器缓冲区中粘贴新的DNS 记录。

可能需要将句点 ( .) 符号直接放在每个数据记录的主机名末尾SSHFP（这是在关闭该区域数据库文件之前生成的ssh-keyscan；例如：

; note the extra ending period '.' after hostnames
host.domain.tld. IN SSHFP 4 1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
host.domain.tld. IN SSHFP 4 2 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

享受！

来源：

Answer 1

OpenSSH v6.9 非常非常老了。最新的是 OpenSSH v9.0。我查看了dns.cOpenSSH 存储库的 V_6_9 分支。调试输出中要注意的关键事项是：

found 2 insecure fingerprints in DNS

意味着 DNSSEC 查找host.domain.tld不是有效的 DNS 记录（完全不安全），尽管通常会找到两个 (2) 个不同的SSHFP资源记录（无论是否安全）。

这也意味着delv host.domain.tld.不会在第一行输出预期的消息：

$ delv host.domain.tld.
; fully validated
...

虽然 DNSSEC 故障排除的范围很广，但在本文中很难找到解决方案。

我建议您将您的信息插入domain.tld两个出色的在线 DNSSEC 疑难解答程序之一，然后从那里开始：

当然，作为最后的手段，[dnssec]标签在 ServerFault（另一个 StackExchange 组）和您最喜欢的搜索引擎上，但更快地聘请内部 DNSSEC 专家来满足您的需求。

安全考虑

当然，您确实已经启动并运行了 DNSSEC？

只有通过 DNSSEC 正确签名的资源记录才能保证对 SSHFP 的保护，但是，但是...但是大多数人（和许多 ISP）不会指示他们的 DNS 解析器仅返回由 DNSSEC 确定的有效 DNS 记录；尽管如此，SSHFP 被劫持的可能性仍然存在。

这里的问题不是公钥的保密性（它并不保密）。

我们遇到的问题是保存此公钥的 DNS 记录的完整性。虽然问题陈述中的 SSHFP 密钥数据是正确的，但错误更多的是“缺乏清晰度”，但逻辑仍然是正确的。

这就是这篇原创问题帖子的结尾。但我将概述一些其他安全注意事项。

验证 SSHFP 设置

列出的七 (7) 个步骤的顺序是这样的（在前一步完成之前不要进行下一步）。

Ping host.domain.tld，得到 ICMP 响应。
执行delv host.domain.tld.并确保第一行输出显示；请注意在主机名末尾添加的; fully validated句点 ( )。.
正确EDNS(0)使用这个EDNS(0) 在线测试器针对您有问题的服务器。
从您相关的 SSH 服务器获取 SSH 指纹以开始比较；执行ssh-keyscan -D host.domain.tld. （注意-D选项）。

$ ssh-keyscan -D host.domain.tld.

输出：

host.domain.tld IN SSHFP 4 1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
host.domain.tld IN SSHFP 4 2 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

从在其区域数据库文件中保存 SSHFP 的权威名称服务器的 DNS 查询中，SSHFP使用获取记录delv host.domain.tld. SSHFP。

$ delv host.domain.tld. sshfp

生成以下输出：

; fully validated
host.domain.tld.        86400   IN  SSHFP   1 1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
host.domain.tld.        86400   IN  SSHFP   1 2 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX
host.domain.tld.        86400   IN  SSHFP   3 1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
host.domain.tld.        86400   IN  SSHFP   3 2 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX
host.domain.tld.        86400   IN  SSHFP   4 1 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
host.domain.tld.        86400   IN  SSHFP   4 2 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX

将实际的 SSH 指纹与SSHFPDNS 记录的内容进行比较。算法（1-6）和哈希 ID（1 或 2）也必须匹配。

必须匹配的算法ID到名称为：1=RSA，2=DSA，3=ECDSA，4=Ed25519，6=Ed448。

必须匹配的名称的哈希 ID 为：1=SHA1、2=SHA256。

尝试ssh -oVerifyHostKeyDNS=yes -oStrictHostKeyChecking=yes host.domain.tld. 如果此步骤有效，请将两个选项集成到您的 SSH 客户端配置文件中。

如果指纹不匹配，则始终是 DNS 记录需要更新。

出现警告

使用较新的 OpenSSH，您甚至可能会在初始 SSH 登录期间收到以下令人讨厌的提示：

ssh host.domain.tld

可能输出以下内容：

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:XxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXxXx.
Please contact your system administrator.
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Warning: Permanently added '[host.domain.tld.]:22,[999.999.999.999]:22' (ED25519) to the list of known hosts.
</etc/motd content goes here>
[email protected].'s password:

上述输出中要注意的关键是以下一行：

Update the SSHFP RR in DNS with the new host key to get rid of this message.

它的意思就是它的意思。

本地 SSH 客户端配置VerifyHostKeyDNS yes中的控制着该输出；配置可以是在$USER/.ssh/config或在中/etc/ssh/ssh_config。

上述决定基于以下之间的简单比较：

持有SSHFP此区域数据的权威名称服务器host.domain.tld
host.domain.tld提供公钥的SSH 服务器

此消息涵盖了以下 99.999% 的潜在情景。

sshd没有使用相同的公钥，可能是因为：
- 通过以下方式生成了不同的公钥ssh-keygen（最常见）
- 一组不同的配置文件（通过sshd -c <config_file>）
- AuthorizedKeyFile已经改变
- 指纹哈希（FingerprintHash）设置已更改
- PubkeyAcceptedKeyTypes已经改变
- CASignatureAlgorithms已经改变
- TrustedCAUserKeys已经改变

其余 0.001％的时间则出现在许多不太常见的场景中：

指向不同的 SSH 服务器
- 已打开新端口号（合法或非法）。如果您的ssh_config/$HOME/.ssh/config使用了不同的端口号，则可能会发生这种情况（这种情况很少见，但确实发生过恶意事件）
- 一个（不同的？）Dockerized 容器重复使用相同的 IP 地址
- MAC 地址已更改为指向克隆服务器
- IP 过滤器（或 nftables）重新路由了你常用的 SSH 端口
- IP 路由已更改（通过路由表或各种 IP 路由协议，如 BGP、OSPF、RIP）
- 出现了一个幽灵守护进程，使得您的服务器的 rougesshd守护进程通过 SysV init 启动（service XXXX start或systemd start XXXX.service或system start XXXX.timer或偷偷通过 crond/atd 作业或甚至rc.local）并使用其自己的 SSH 服务器公钥。
指向不同的sshd可执行文件。这需要使用软件包工具（您的发行版）进行文件验证，以确保其校验和值、修改时间、文件路径、安全上下文以及sshd可执行文件及其引用库的属性（请参阅ldd/usr/sbin/sshd）均已正确计算和设置。

无论如何，一旦你消除了剩下的 0.001%，这将是一个简单的问题：

生成新的SSHFPDNS 记录（ssh-keyscan -r host.domain.tld）；将输出保存到编辑器缓冲区
识别权威名称服务器domain.tld（dig domain.tld. soa并注意MNAMESOA 记录数据的部分）。
以 root 身份登录到该MNAME权威名称服务器host.domain.tld
转到名称服务器的正确配置文件（ISC Bind9 是/etc/named.conf；较新的 Bind v9.11+ 通过显示默认配置named -V）
记下区域的数据库文件名domain.tld。（ISC Bind9 是file /var/lib/bind/db.domain.tld）
将目录更改为该区域数据库文件所在的位置
编辑db.domain.tld文件。
SSHFP从第一步保存的编辑器缓冲区中粘贴新的DNS 记录。

可能需要将句点 ( .) 符号直接放在每个数据记录的主机名末尾SSHFP（这是在关闭该区域数据库文件之前生成的ssh-keyscan；例如：

; note the extra ending period '.' after hostnames
host.domain.tld. IN SSHFP 4 1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
host.domain.tld. IN SSHFP 4 2 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

享受！

来源：

安全考虑

答案1

安全考虑

更多注意事项

验证 SSHFP 设置

出现警告

相关内容