ज्ञात_होस्ट को बदलने के लिए dsh पर ssh फ़िंगरप्रिंट को कॉन्फ़िगर करना विफल रहता है


13

SSHFP रिकॉर्ड ssh सर्वर पर निम्नानुसार उत्पन्न किए गए थे और फिर बाँध में क्षेत्र में जोड़े गए थे:

$ ssh-keygen -r www.test.us.
www.test.us. IN SSHFP 1 1 ad04dfaf343a93beeb939eed1612168f7eadbed7
www.test.us. IN SSHFP 2 1 432209c72c4f0e99546d601dd96c04ce804191f9

दिखाए गए DNS के माध्यम से ssh क्लाइंट से आवश्यक रिकॉर्ड को पकड़ा जा सकता है:

$ dig www.test.us any
;; QUESTION SECTION:
;www.test.us.           IN  ANY

;; ANSWER SECTION:
www.test.us.        120 IN  SSHFP   1 1 AD04DFAF343A93BEEB939EED1612168F7EADBED7
www.test.us.        120 IN  SSHFP   2 1 432209C72C4F0E99546D601DD96C04CE804191F9
www.test.us.        120 IN  A   192.168.1.50

हालांकि ग्राहक पर ssh उन्हें जोड़ने पर खोजने में विफल रहता है:

$ rm .ssh/known_hosts
$ ssh -vo VerifyHostKeyDNS=yes www
OpenSSH_5.9p1, OpenSSL 0.9.8r 8 Feb 2011
debug1: Reading configuration data /Users/test/.ssh/config
debug1: Reading configuration data /etc/ssh_config
debug1: /etc/ssh_config line 20: Applying options for *
debug1: /etc/ssh_config line 53: Applying options for *
debug1: Connecting to www [192.168.1.50] port 22.
debug1: Connection established.
debug1: identity file /Users/test/.ssh/id_rsa type 1
debug1: identity file /Users/test/.ssh/id_rsa-cert type -1
debug1: identity file /Users/test/.ssh/id_dsa type -1
debug1: identity file /Users/test/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.8p2_hpn13v11
debug1: match: OpenSSH_5.8p2_hpn13v11 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.9
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA 69:dc:47:97:e1:a5:c9:07:4a:2b:9e:3c:a2:2b:c8:8c
DNS lookup error: name does not exist
The authenticity of host 'www (192.168.1.50)' can't be established.
RSA key fingerprint is 69:dc:47:97:e1:a5:c9:07:4a:2b:9e:3c:a2:2b:c8:8c.
No matching host key fingerprint found in DNS.
Are you sure you want to continue connecting (yes/no)?

यह असफल क्यों है के रूप में कोई विचार? मुझे पता है कि DNSSEC को सुरक्षित बनाने के लिए आवश्यक है और मुझे एक चेतावनी मिलनी चाहिए क्योंकि DNSSEC वर्तमान में सक्षम नहीं है। इससे पहले कि मैं एक अतिरिक्त समस्या के रूप में इससे निपटने के लिए DNSSEC के बिना यह काम पाने की उम्मीद कर रहा हूं।

Ssh सर्वर OpenBSH_5.8p2_hpn13v11 के साथ FreeBSD 9.1 है और BIND 9.8.3-P4 का उपयोग करके DNS की मेजबानी भी कर रहा है। मैंने OSSS 10.8.2 से OpenSSH_5.9p1 के साथ-साथ ArchSS 3.6.10-1-ARCH को OpenSSH_6.1p1 से जोड़ने का प्रयास किया है।

अपडेट करें

इसके निवारण के एक और प्रयास में, मैंने एक नया OpenBSD 5.2 VM बनाया, जिसमें OpenSSH_6.1 एक ssh सर्वर के रूप में बनाया गया है। चूंकि OpenSSH सर्वर के अन्य सभी कार्यान्वयन OpenBSD एक के सिर्फ पोर्ट हैं, निश्चित रूप से यह काम करना चाहिए। सर्वर पर मैं SSHFP रिकॉर्ड जनरेट करता हूं:

# ssh-keygen -r vm1.test.us.  
vm1.test.us. IN SSHFP 1 1 419c5338920e11183380d81f002fc998389b944f
vm1.test.us. IN SSHFP 1 2 cb5bbbf5aef231f57a1a4dcf1e790f1be032b124d0d591023f33cfd5f91ec556
vm1.test.us. IN SSHFP 2 1 0fdf92ce946b5cfee5f96a3e1ef710edc50280ff
vm1.test.us. IN SSHFP 2 2 f2ee7334ee9f9a426f51f20af8f4bc7155d567c9d38a6bffaa6c643af405711e
vm1.test.us. IN SSHFP 3 1 b5e94320f0bc0b46cc6627ca7221679a65c79962
vm1.test.us. IN SSHFP 3 2 60704213a0bbd8dae813d113bfe4ae190a780b89836e6e1c567b7cfde89805f8

मैं उन्हें FreeBSD बाइंड सर्वर और नाम पुनः लोड करने के लिए जोड़ता हूं। फिर यह देखने के लिए परीक्षण करें कि क्या मैं अभिलेखों तक पहुंच सकता हूं:

$ host -t any vm1
vm1.test.us has SSHFP record 1 1 419C5338920E11183380D81F002FC998389B944F
vm1.test.us has SSHFP record 1 2 CB5BBBF5AEF231F57A1A4DCF1E790F1BE032B124D0D591023F33CFD5 F91EC556
vm1.test.us has SSHFP record 2 1 0FDF92CE946B5CFEE5F96A3E1EF710EDC50280FF
vm1.test.us has SSHFP record 2 2 F2EE7334EE9F9A426F51F20AF8F4BC7155D567C9D38A6BFFAA6C643A F405711E
vm1.test.us has SSHFP record 3 1 B5E94320F0BC0B46CC6627CA7221679A65C79962
vm1.test.us has SSHFP record 3 2 60704213A0BBD8DAE813D113BFE4AE190A780B89836E6E1C567B7CFD E89805F8
vm1.test.us has address 192.168.1.60


$ dig -t any vm1.test.us
;; QUESTION SECTION:
;vm1.test.us.           IN  ANY

;; ANSWER SECTION:
vm1.test.us.        120 IN  SSHFP   1 2 CB5BBBF5AEF231F57A1A4DCF1E790F1BE032B124D0D591023F33CFD5 F91EC556
vm1.test.us.        120 IN  SSHFP   2 1 0FDF92CE946B5CFEE5F96A3E1EF710EDC50280FF
vm1.test.us.        120 IN  SSHFP   2 2 F2EE7334EE9F9A426F51F20AF8F4BC7155D567C9D38A6BFFAA6C643A F405711E
vm1.test.us.        120 IN  SSHFP   3 1 B5E94320F0BC0B46CC6627CA7221679A65C79962
vm1.test.us.        120 IN  SSHFP   3 2 60704213A0BBD8DAE813D113BFE4AE190A780B89836E6E1C567B7CFD E89805F8
vm1.test.us.        120 IN  SSHFP   1 1 419C5338920E11183380D81F002FC998389B944F
vm1.test.us.        120 IN  A   192.168.1.60

रिकॉर्ड स्पष्ट रूप से DNS पर परोसा जा रहा है, इसलिए मैं ssh का उपयोग करने का प्रयास करता हूं:

$ rm .ssh/known_hosts
$ ssh -vo VerifyHostKeyDNS=yes root@vm1
OpenSSH_5.9p1, OpenSSL 0.9.8r 8 Feb 2011
debug1: Reading configuration data /etc/ssh_config
debug1: Connecting to vm1 [192.168.1.60] port 22.
debug1: Connection established.
debug1: identity file /Users/test/.ssh/id_rsa type 1
debug1: identity file /Users/test/.ssh/id_rsa-cert type -1
debug1: identity file /Users/test/.ssh/id_dsa type -1
debug1: identity file /Users/test/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.1
debug1: match: OpenSSH_6.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.9
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA d8:01:b5:b2:3e:c7:55:ce:19:c1:6d:77:39:92:7d:0f
DNS lookup error: name does not exist
The authenticity of host 'vm1 (192.168.1.60)' can't be established.
RSA key fingerprint is d8:01:b5:b2:3e:c7:55:ce:19:c1:6d:77:39:92:7d:0f.
No matching host key fingerprint found in DNS.
Are you sure you want to continue connecting (yes/no)? 

इस बिंदु पर, मुझे लगता है कि ssh क्लाइंट और सर्वर को विफलता के बिंदु के रूप में समाप्त करना सुरक्षित है। इसके बजाय मैं DNS सर्वर पर ध्यान केंद्रित करने जा रहा हूं। जब तक किसी का सुझाव नहीं है कि कहां देखना है, मुझे लगता है कि मैं पैकेट कैप्चर लेने के लिए फंस गया हूं और सुराग खोजने के लिए उनके माध्यम से खुदाई कर रहा हूं।

Update2

ठीक है, यहाँ मेरे पैकेट कैप्चर के परिणाम हैं। ssh www; मानक के साथ विफल रहता है

No matching host key fingerprint found in DNS.

और पैकेट कैप्चर से पता चलता है कि DNS लुकअप के लिए रिकॉर्ड वापस करने में विफल है।

mbp13.test.us   www.test.us DNS Standard query 0x1c5e  SSHFP www
www.test.us   mbp13.test.us DNS Standard query response 0x1c5e No such name

Ssh www.test.us से तुलना करें; जो संदेश के साथ भी विफल हो जाता है

No matching host key fingerprint found in DNS.

हालांकि पैकेट कैप्चर से पता चलता है कि DNS वास्तव में रिकॉर्ड लौटाता है।

mbp13.test.us   www.test.us DNS Standard query 0x0ebd  SSHFP www.test.us
www.test.us   mbp13.test.us DNS Standard query response 0x0ebd  SSHFP SSHFP`

सबसे पहले, यह थोड़ा विवादास्पद है कि त्रुटि संदेश दोनों मामलों के लिए समान है। मैं केस 1 को ठीक करने के लिए कुछ रिकॉर्ड जोड़ सकता हूं जहां कोई रिकॉर्ड वापस नहीं किया जाता है, लेकिन बड़ी समस्या 2 है। DNS काम करता है और SSHFP रिकॉर्ड ssh क्लाइंट को वापस किया जा रहा है। DNS क्वेरी प्रतिक्रिया के बाद कोई पैकेट नहीं भेजा जाता है और ssh क्लाइंट तुरंत बिना मेल के फिंगरप्रिंट संदेश प्रदर्शित करता है। इसका अर्थ है कि मेरे द्वारा परीक्षण किए जा रहे सभी ssh क्लाइंट या तो टूट गए हैं या DNS में संग्रहीत फिंगरप्रिंट गलत है और मेल नहीं खाता है। मुझे संदेह है कि यह क्लाइंट है इसलिए DNS में फिंगरप्रिंट गलत क्यों है? इस पोस्ट की शुरुआत में वर्णित के रूप में निर्मित ssh टूल ssh-keygen में उंगलियों के निशान बनाए गए थे। साथ ही, समस्या को इस तथ्य से मदद नहीं मिलती है कि उंगलियों के निशान को संदर्भ के आधार पर विभिन्न स्वरूपों में प्रदर्शित किया जाता है।

DNS record format:      ad04dfaf343a93beeb939eed1612168f7eadbed7
ssh client mesg format: 69:dc:47:97:e1:a5:c9:07:4a:2b:9e:3c:a2:2b:c8:8c

क्या किसी के पास कोई सुझाव है कि क्यों ssh-keygen से उँगलियों के निशान एक ही sar सर्वर द्वारा लौटाए गए सार्वजनिक कुंजी से मेल नहीं खाते?

Update3

मैं अपने आखिरी विकल्प के लिए नीचे हूं। जब तक कोई मुझे सप्ताहांत से पहले सही दिशा में इंगित नहीं करता है, मैं अपना शनिवार वीएम का उपयोग करके एक डुप्लिकेट वातावरण बनाने में खर्च करूंगा जो पूरी तरह से ओपनबीएसडी आधारित है। चूंकि OpenBSD OpenSSH का मालिक है, इसलिए काम करने के लिए DNS पर SSHFP के लिए यह आदर्श स्थिति होगी। अगर एक OpenBSD OpenSSH सर्वर बाइंड के साथ OpenBSD OpenSSH क्लाइंट काम नहीं करता है, तो SSHFP कार्यान्वित के रूप में टूट जाता है और मैं चीजों को OpenBSD मंचों पर ले जाऊंगा और संभवतः एक बग रिपोर्ट दर्ज करूंगा। मैं अभी भी उम्मीद कर रहा हूं कि मुझे कुछ स्पष्ट याद आ रहा है और यह एक उपयोगी उत्तर मेरे सप्ताहांत को बचाएगा।


क्या आपने स्पष्ट रूप से कनेक्ट करने के लिए कनेक्ट करने का प्रयास किया था www.test.us?
उलरिच डांगेल

हाँ। क्षमा करें, मुझे यह उल्लेख करना चाहिए कि मैंने सभी बदलावों की कोशिश की: ssh www; ssh www.test.us; ssh www.test.us ;; उन सभी का परिणाम एक ही प्रतिक्रिया है।
माइकल यासुमोतो

Wireshark / tcpdump से यह देखना दिलचस्प हो सकता है कि DNS सर्वर से क्या पूछा जा रहा है और क्या प्रतिक्रिया भेजी गई है। सटीक प्रश्नों और प्रतिक्रियाओं को जानने से समस्या का पता लगाने में मदद मिलेगी।
गर्ट वैन डेन बर्ग

Gert, मैंने ऊपर एक अपडेट में जवाब दिया क्योंकि मैं इस टिप्पणी बॉक्स में प्रतिक्रिया को फिट नहीं कर सका।
माइकल यासुमोतो

सीधे आईपी पते से कनेक्ट करने का प्रयास करें - मुझे ऐसा लगता है कि sshDNS रिकॉर्ड से भ्रमित नहीं है जो उस होस्टनाम से मेल नहीं खा रहा है जिस तक आप पहुंचने की कोशिश कर रहे हैं।
पेट्रफ

जवाबों:


5

जाहिर तौर पर मेरे मुद्दे दो अलग-अलग समस्याओं के कारण थे।

समस्या # 1 SSHFP खोज पथ का उपयोग करने का समर्थन नहीं करता है। इसलिए यदि आप /etc/resolv.conf में "domain example.com" जोड़ते हैं तो आप SSHFP के साथ काम करने के लिए ssh myhost की उम्मीद करेंगे क्योंकि नियमित ssh सही ढंग से myhost.example.com को नाम हल कर देगा। जाहिर तौर पर ओपनबीएसडी देव इस मुद्दे से अवगत हैं क्योंकि 2 साल पहले एक पैच जारी किया गया था लेकिन इसे कभी लागू नहीं किया गया था। इसके बजाय एक ssh_config हैक का सुझाव दिया गया था लेकिन वह भी काम नहीं करता है। तो पहले मुद्दे का हल यह है कि FQDN को हमेशा SSHFP के साथ उपयोग किया जाना चाहिए।

अंक # 2 पिछले मुद्दे को हल करने के लिए FQDNs का उपयोग करना, सब कुछ काम करता है यदि मैं ओपनएसएसएच क्लाइंट के वर्तमान संस्करण का उपयोग करता हूं जो ओपनएसएसएच 6.1 है। मेरे FreeBSD सिस्टम पर OpenSSH_5.8p2 क्लाइंट एक नए OpenSSH_6.1 सर्वर के लिए SSHFP रिकॉर्ड ढूंढने में सक्षम है, लेकिन यह DNS से ​​प्राप्त फिंगरप्रिंट को उस सर्वर से प्राप्त करने में असमर्थ है जो इसे सर्वर से प्राप्त करता है। मेरे OS X 10.8.2 मशीन पर OpenSSH_5.9p1 ग्राहक FreeBSD मशीन की तुलना में क्लाइंट का कभी भी संस्करण नहीं होने के बावजूद एक नए OpenSSH_6.1 सर्वर के लिए SSHFP रिकॉर्ड प्राप्त करने में असमर्थ है। स्पष्ट रूप से यह गैर-मौजूद SSHFP रिकॉर्ड्स को OpenSSH सर्वर द्वारा लौटाए गए फिंगरप्रिंट से मिलान करने में असमर्थ है। अंत में, FreeBSD बॉक्स पर ssh-keygen OpenSSH_6.1 क्लाइंट के अनुसार खराब SSHFP रिकॉर्ड बनाता है जो MITM हमले के बारे में शिकायत करते हैं क्योंकि वे डॉन ' t सर्वर द्वारा लौटाए गए फिंगरप्रिंट से मिलान करें। समाधान यह प्रतीत होता है कि आपको SSSS के लिए OpenSSH क्लाइंट और सर्वर दोनों के वर्तमान संस्करण को चलाना होगा। क्लाइंट या सर्वर दोनों के पुराने संस्करण का उपयोग करना परेशानी के लिए पूछ रहा है।

DNS के साथ SSHFP का उपयोग करने वाले अंतिम विचार स्पष्ट रूप से बहुत ही अत्याधुनिक ओएस परिवेश में उपयोग किए जाने वाले किनारे हैं और गैर-ओपनबीएसडी ओएस के पोर्ट ओपनएसएसएच पोर्टेबल को पोर्ट करने के बाद से सब कुछ "बस काम" है, जो उस समय के पोर्ट से तारीख से बाहर है। शायद 3-5yrs में, SSHFP पर्याप्त स्थिर होगा, यहां तक ​​कि पुराने संस्करण जो अन्य OS के लिए पोर्ट किए गए हैं, वे भी नवीनतम संस्करण के साथ स्थिर और संगत होंगे।


2
इस तथ्य के बावजूद कि ओएस एक्स (10.9) में अब ओपनएसएसएच का 6.X संस्करण शामिल है, एसएसएचएफपी अभी भी टूटे हुए ओएस एक्स कार्यान्वयन के कारण काम नहीं करता है जैसा कि गिटहब द्वारा रिपोर्ट किया गया है। MacPorts से एक जैसे एक अलग OpenSSH ग्राहक के साथ प्रतिस्थापन वर्तमान में एकमात्र समाधान है।
माइकल यासुमोतो

0

सर्वर SSH का होस्टनाम SSHFP रिकॉर्ड में होस्टनाम से बिल्कुल मेल खाना चाहिए। यही है, यह केवल दो होस्टनाम के लिए एक ही आईपी पते पर हल करने के लिए पर्याप्त नहीं है। इस प्रकार, ssh wwwSSHFP के लिए काम नहीं करेगा जो www.test.us. के लिए हैं, जब तक कि www आपके SSH विन्यास में इस तरह से नहीं है:

Host www
    Hostname www.test.us

कोशिश करो ssh www.test.us


1
क्षमा करें, लेकिन ऐसा लगता है कि आपने मेरी पूरी पोस्ट ऊपर नहीं पढ़ी। मैंने पूरी तरह से योग्य डोमेन नाम (FQDN) का उपयोग करके परीक्षण किया और यह मुद्दा नहीं था।
माइकल यासुमोतो

0

आपको जिस सेवा के लिए DNS रिकॉर्ड बना रहे हैं, उसकी सार्वजनिक कुंजी की फ़ाइल-नाम की आपूर्ति करने की आवश्यकता है। अन्यथा यह आपकी व्यक्तिगत सार्वजनिक कुंजी फ़ाइल (s) को .ssh / * पब से डिफ़ॉल्ट फॉलबैक के रूप में उपयोग करेगा।

ssh-keygen -r vm1.test.us -f /etc/ssh/ssh_host_rsa_key.pub
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.