Sécurisation DNS avancée

De Linux Server Wiki
Aller à la navigation Aller à la recherche

DNSsec

DANE

SSHFP

Génération avec ssh-keygen

La syntaxe est simple : ssh-keygen -r <hostname de votre serveur>

ssh-keygen -r wiki.csnu.org.

Cela devrait vous sortir une série de champ DNS que vous pouvez copier directement dans votre zone dns. N'oubliez pas de mettre a jour le SERIAL de la zone et de recharger la zone dans votre serveur dns ensuite.

Génération avec hash-slinger

Pour debian wheezy, vous pouvez télécharger directement le paquet hash-slinger sur le site packages.debian.org. Installez le avec dpkg -i et réglez les dépendances par la suite avec aptitude -f install.

ssh-keyscan -t rsa,dsa,ecdsa wiki.csnu.org. > sshkeys
sshfp -k sshkeys

Cela devrait vous sortir une série de champ DNS que vous pouvez copier directement dans votre zone dns. N'oubliez pas de mettre a jour le SERIAL de la zone et de recharger la zone dans votre serveur dns ensuite.

Forcez la vérification dns sur le client ssh

Par défaut, openssh ne vérifie pas les enregistrements DNS SSHFP. Pour activer la vérification, editez le fihchier de configuration de votre client ssh (~/.ssh/config par exemple) et ajoutez y la ligne suivante :

VerifyHostKeyDNS ask

De cette manière, il sera necessaire que la clé soit confirmée a la fois par dns et par StrictHostKeyChecking.

Si vous souhaitez faire confiance automatiquement aux nouvelles clés ssh obtenue par dns (aka ajouter directement la clé dans votre fichier known_hosts sans que celà vous soit demandé), modifiez la ligne de cette manière :

VerifyHostKeyDNS yes