4 203
modifications
« Sécurisation DNS avancée » : différence entre les versions
Aller à la navigation
Aller à la recherche
→SSHFP
(→SSHFP) |
|||
| Ligne 4 : | Ligne 4 : | ||
=SSHFP= | =SSHFP= | ||
=pourquoi ?== | |||
En l'état actuel des choses, lorsque vous vous connectez à un nouveau serveur ssh, votre client doit (s'il ne le fait pas, changez en) vous informer que le serveur sur lequel vous tentez de vous connecter d'identifie avec une certaine fingerprint : | |||
<pre> | |||
The authenticity of host 'wiki.csnu.org (2001:41d0:2:475e::201)' can't be established. | |||
RSA key fingerprint is 20:c2:7e:a9:f5:c2:8b:ca:c7:08:47:06:a0:74:e0:06. | |||
Are you sure you want to continue connecting (yes/no)? | |||
</pre> | |||
Si vous confirmez la fingerprint, elle sera ajouté au fichier <code>~/.ssh/known_hosts</code> et ssh ne vous demandera plus de confirmation a moins que la clé ssh change. | |||
Problème : Vous avez probablement vérifié que vous vous connecté au bon nom dns (voir à la bonne ip), mais avez vous vérifié l'identité du serveur via sa fingerprint ssh ? Probablement pas. Pourtant, vous devriez. | |||
C'est ici que vient se glisser le champ sshfp : il permet de spécifier, dans la zone dns, un hash correspondant aux différentes fingerprint utiisé par le serveur ssh "officiel" du domaine en question. | |||
Si la zone est de surcroît signée avec dnssec, vous ajoutez ainsi une grosse couche de sécurité à votre installation ssh. | |||
==Génération avec ssh-keygen== | ==Génération avec ssh-keygen== | ||