最後更新:2015-06-08

介紹

SSHFP 簡單來說, 它就是把 SSH Server 的公匙的 fingerpint 放到 DNS 裡

以後 ssh 另一新 Server 時就不會有以下尷尬情況

VZserver:~#ssh 192.168.123.11
The authenticity of host '192.168.123.11 (192.168.123.11)' can't be established.
RSA key fingerprint is 01:ff:43:a7:29:a3:07:c6:58:45:d6:d4:39:98:0d:c4.
Are you sure you want to continue connecting (yes/no)?

尷尬?! 一般來說, 許多人都答 yes 算了 ...

建立

一句 command 就可以了

ssh-keygen -r datahunter.org

datahunter.org IN SSHFP 1 1 2b8b1f45b49d867f437bca7b8b9f30466b3bfdc1
datahunter.org IN SSHFP 2 1 85e8b63be3d756089132b493e3232f15bf59dd89

1是指 RSA Keys, 而 2 則是指 DSA Keys

把以上 record 直接貼上 bind 就可以用了

Client

ssh -o “VerifyHostKeyDNS yes” <DOMAIN>

Matching host key fingerprint found in DNS.

總論:

不過這功能仍有點雞肋, 原因如下

• Router 被人控制了, DNS Record 不可信
• 不多 DNS 的 Web panel 不支援加此 record
• 在 Window 上 Putty 無法使用 ...