SSHFP DNS record

  • Seit einiger Zeit schon versuche ich einen SSHFP record in den DNS Einstellungen einzurichten. Leider bisher ohne Erfolg.


    Es gibt auf der Netcup Website diesen Artikel, der auch den SSHFP eintrag als Screenshot anzeigt:

    Neue Record-Typen für unsere DNS-Server « netcup news
    Ab sofort bietet unsere DNS-Verwaltung auch die Unterstützung folgender DNS-Record-Typen an: OPENPGPKEY, SMIMEA und SSHFP. Damit erfüllen wir einen weiteren…
    www.netcup-news.de


    Also habe ich entsprechende Einträge in dem Verwaltungstool eingetragen, leider ohne das diese im DNS veröffentlich wurden.


    Beispiel:


    Host

    Host Type Destination Gültig
    mydomain.de

    SSHFP

    1 1 68293dca2bc3a6ea7d5c9d7d98bae3952

    yes


    Dieser Eintrag sollte eigentlich den SSH fingerprint für den typ RSA im DNS eintragen, leider findet sich dieser Eintrag im DNS nicht.

    So sollte eigentlich mit dem Befehl ssh-keyscan -D <domainname> der Eintrag ausgegeben werden.

    Code
    ssh-keyscan -D mydomain.de

    Für domains wie github.com funktioniert dies auch.


    Die Frage ist warum dies für meine Domain nicht erfolgreich ist.


    Hat irgendjemand für eine Domain bei Netcup schon mal erfolgreich diesen DNS Eintrag verwendet?

  • Bei "Host" muss ein "@" rein. So hast du gerade einen Record für mydomain.de.mydomain.de erstellt.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Like 2
  • So sollte eigentlich mit dem Befehl ssh-keyscan -D <domainname> der Eintrag ausgegeben werden.

    Noch ein Nachtrag zu ssh-keyscan: Ich glaube du verwechselst die Funktionalität von ssh-keyscan etwas:

    Quote

    ssh-keyscan – gather SSH public keys from servers

    Der Befehl zeigt dir also nur die Records an, die du erstellen müsstest. Aber so wie ich das sehe, hat GitHub gar keine SSHFP-Records.


    Die Überprüfung würde ich z.B. mit dig SSHFP mydomain.de machen.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Bei "Host" muss ein "@" rein. So hast du gerade einen Record für mydomain.de.mydomain.de erstellt.

    Ok, danke für den Tipp. So richtig verstehe ich aber nicht warum das so eingetragen werden muss, insbesondere wenn sowohl bei wikipedia als auch in dem netcup screenshot der volle Domainname eingetragen ist. https://de.wikipedia.org/wiki/SSHFP_Resource_Record


    Ich schau mal ob das Problem behoben ist, dauert ja etwas mit dem DNS


    Noch ein Nachtrag zu ssh-keyscan: Ich glaube du verwechselst die Funktionalität von ssh-keyscan etwas:

    Der Befehl zeigt dir also nur die Records an, die du erstellen müsstest. Aber so wie ich das sehe, hat GitHub gar keine SSHFP-Records.

    Das ist nicht ganz korrekt in bezug auf die -D option.


    Aus der ssh-keyscan manpage:


    Quote

    -D Print keys found as SSHFP DNS records. The default is to print keys in a format usable as a

    ssh(1) known_hosts file.

    Und ssh-keyscan -D github.com gibt auch entsprechende sshfp einträge zurück

  • [...] insbesondere wenn sowohl bei wikipedia als auch in dem netcup screenshot der volle Domainname eingetragen ist.

    Ich weiß nicht welchen Screenshot du bei netcup meinst, aber hier ist es nochmal genau erklärt: https://helpcenter.netcup.com/…lle-der-dns-eintr%C3%A4ge

    Selbst auf dem von dir verlinkten News-Artikel sind Einträge mit @ zu sehen.


    Das ist nicht ganz korrekt in bezug auf die -D option.

    -D ändert nur die Darstellung. Trotzdem hat github.com keine SSHFP-Einträge. Wie gesagt, das Tool zeigt dir nur an, welche Einträge du erstellen müsstest, aber nicht welche aktuell vorhanden sind. Außerdem wird für SSHFP-Einträge auch DNSSEC benötigt. Github nutzt kein DNSSEC.


    Hab's auch gerade nochmal mit einem Host von mir ausprobiert, für den ganz sicher keine SSHFP-Einträge gesetzt sind. Und trotzdem generiert mir ssh-keyscan eine Ausgabe wie bei Github.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Like 3

  • Ok du hast doch recht, ich habe die funktion von ssh-keyscan falsch interpretiert.


    SSHFP einträge sind übrigends auch valide wenn diense nicht per DNSSEC signiert sind. Allerdings reagieren dann die clients wie ssh anders und fordern den user auf den Fingerprint manuell zu bestätigen, statt diesen automatisch zu akzeptieren. Github hat aber tatsächlich keine SSHFP records eingetragen.


    Bezüglich des Eintrags, hier ist der Screenshot von netcup:

    https://www.netcup-news.de/wp-content/uploads/2018/09/dns_records_openpgpkey.png

    Original Post:

    link: https://www.netcup-news.de/201…n-fuer-unsere-dns-server/



    Jetzt wo ich den Eintrag korrekt verifiziere, muss ich auch feststellen das es irrelevant zu sein scheint ob ich den hostnamen oder @ eintrage, die SSHFP records werden in beiden Fällen ausgegeben.

  • SSHFP einträge sind übrigends auch valide wenn diense nicht per DNSSEC signiert sind. Allerdings reagieren dann die clients wie ssh anders und fordern den user auf den Fingerprint manuell zu bestätigen, statt diesen automatisch zu akzeptieren.

    Ah, verstehe. Bin in dem Thema nicht ganz so tief drin und wusste nicht, was die Clients in so einer Situation machen.


    Bezüglich des Eintrags, hier ist der Screenshot von netcup:

    https://www.netcup-news.de/wp-…ns_records_openpgpkey.png

    Original Post:

    link: https://www.netcup-news.de/201…n-fuer-unsere-dns-server/

    Ja, da ist der Screenshot etwas unglücklich erstellt worden. Allerdings ist die Domain in dem Fall ja eine-spitzen-testdomain.de und im Host steht ns1.af91b.de. Daraus wird dann ns1.af91b.de.eine-spitzen-testdomain.de.


    Jetzt wo ich den Eintrag korrekt verifiziere, muss ich auch feststellen das es irrelevant zu sein scheint ob ich den hostnamen oder @ eintrage, die SSHFP records werden in beiden Fällen ausgegeben.

    Da muss ich dir leider wieder widersprechen. Hab's extra nochmal getestet:

    pasted-from-clipboard.png


    Code
    dig SSHFP example.com @root-dns.netcup.net +short
    3 1 5AF0A2C05A2071FFC84E7EE299B8DF9BA0F99361
    
    dig SSHFP example.com.example.com @root-dns.netcup.net +short
    1 1 1739FF9D2A71E63482159C57C576FC265DC32B72

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Like 2 Thanks 1
  • Warum auch immer, wenn ich dig ohne @root-dns.netcup.net verwende, bekomme ich den Fingerprint in beiden Fällen zurück. Kann aber auch einfach an dem DNS cache liegen.

    Wieso der Host eintrag ein @ haben muss ist mir aber immernoch nicht ganz klar, aber ok dann ist das Rätsel auf jeden Fall gelöst, danke.

  • Wieso der Host eintrag ein @ haben muss ist mir aber immernoch nicht ganz klar […]

    Weil in die Spalte Host im CCP immer nur der Host ohne der Domain selbst eingetragen wird, das wäre sonst bei jedem Record unnötig redundant. Da keine leeren Eingaben erlaubt sind, gibt es ein @ um auf die Domain selbst zu verweisen.


    Allgemeiner Lesestoff dazu, auch wenn das nicht zu 100% auf die Implementierung im CCP zutrifft: https://de.wikipedia.org/wiki/Zonendatei

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Like 3