« Sécurisation DNS avancée » : différence entre les versions
(→SSHFP) |
(→SSHFP) |
||
| Ligne 15 : | Ligne 15 : | ||
Pour debian wheezy, vous pouvez télécharger directement le paquet hash-slinger sur [https://packages.debian.org/jessie/hash-slinger le site packages.debian.org]. Installez le avec <code>dpkg -i</code> et réglez les dépendances par la suite avec <code>aptitude -f install</code>. | Pour debian wheezy, vous pouvez télécharger directement le paquet hash-slinger sur [https://packages.debian.org/jessie/hash-slinger le site packages.debian.org]. Installez le avec <code>dpkg -i</code> et réglez les dépendances par la suite avec <code>aptitude -f install</code>. | ||
<pre>ssh-keyscan -t rsa,dsa,ecdsa wiki.csnu.org. > sshkeys | <pre>ssh-keyscan -t rsa,dsa,ecdsa wiki.csnu.org. > sshkeys | ||
| Ligne 21 : | Ligne 20 : | ||
</pre> | </pre> | ||
Cela devrait vous sortir une série de champ DNS que vous pouvez copier directement dans votre zone dns. N'oubliez pas de mettre a jour le SERIAL de la zone et de recharger la zone dans votre serveur dns ensuite. | Cela devrait vous sortir une série de champ DNS que vous pouvez copier directement dans votre zone dns. N'oubliez pas de mettre a jour le SERIAL de la zone et de recharger la zone dans votre serveur dns ensuite. | ||
==Forcez la vérification dns sur le client ssh== | |||
Par défaut, openssh ne vérifie pas les enregistrements DNS SSHFP. Pour activer la vérification, editez le fihchier de configuration de votre client ssh (~/.ssh/config par exemple) et ajoutez y la ligne suivante : | |||
<pre>VerifyHostKeyDNS ask</pre> | |||
Version du 15 février 2015 à 13:27
DNSsec
DANE
SSHFP
Génération avec ssh-keygen
La syntaxe est simple : ssh-keygen -r <hostname de votre serveur>
ssh-keygen -r wiki.csnu.org.
Cela devrait vous sortir une série de champ DNS que vous pouvez copier directement dans votre zone dns. N'oubliez pas de mettre a jour le SERIAL de la zone et de recharger la zone dans votre serveur dns ensuite.
Génération avec hash-slinger
Pour debian wheezy, vous pouvez télécharger directement le paquet hash-slinger sur le site packages.debian.org. Installez le avec dpkg -i et réglez les dépendances par la suite avec aptitude -f install.
ssh-keyscan -t rsa,dsa,ecdsa wiki.csnu.org. > sshkeys sshfp -k sshkeys
Cela devrait vous sortir une série de champ DNS que vous pouvez copier directement dans votre zone dns. N'oubliez pas de mettre a jour le SERIAL de la zone et de recharger la zone dans votre serveur dns ensuite.
Forcez la vérification dns sur le client ssh
Par défaut, openssh ne vérifie pas les enregistrements DNS SSHFP. Pour activer la vérification, editez le fihchier de configuration de votre client ssh (~/.ssh/config par exemple) et ajoutez y la ligne suivante :
VerifyHostKeyDNS ask