---

Hejsa.

Er det muligt at sætte openssh op, så dem den checker om hostkey
setemmer overens med sshfp via dnssec?

Jeg har været ved at ændre min dns-opsætning, så jeg får sshfp med på
alle hosts. Samtidig med at min zone er signeret, burde der ikke kunne
pilles ved de info mere

/H

---

Henning <none@nowhere.invalid> writes:

> Er det muligt at sætte openssh op, så dem den checker om hostkey
> setemmer overens med sshfp via dnssec?

Ja, indsæt 'VerifyHostKeyDNS yes' i din konfiguration.

Jeg har haft det til at virke på en OpenBSD client, men med samme
opsætning virkede det ikke umidelbart for mig på Debian.

Der står noget (primært i kommentare) på
http://www.version2.dk/blog/saa-er-der-dnssec-paa-hackingdk-16441

//Makholm

---

On 2011-06-30 12:14, Peter Makholm wrote:
> Henning <none@nowhere.invalid> writes:
>
>> Er det muligt at sætte openssh op, så dem den checker om hostkey
>> setemmer overens med sshfp via dnssec?
>
> Ja, indsæt 'VerifyHostKeyDNS yes' i din konfiguration.

Mja.

Den lave et opslag, og fortæller om sshfp er korrekt (og som jeg
stadigvæk skal svare yes til) , hvis ikke hosten i forvejen er kendt.

Jeg vil gerne gå hele vejen, og lade openssh akseptere en ukendt host,
hvis sshfp vis dnssec er korrekt. Uden yderligere check eller spørgsmål.

> Jeg har haft det til at virke på en OpenBSD client, men med samme
> opsætning virkede det ikke umidelbart for mig på Debian.

På ubuntu kan jeg ikke se forskel på VerifyHostKeyDNS yes eller ask, men
det kan selvfølgelig være en fejl i ubntu (eller debian)

> Der står noget (primært i kommentare) på
> http://www.version2.dk/blog/saa-er-der-dnssec-paa-hackingdk-16441

Den er blevet brugt som grundlag

/Henning