使用 DNSSEC 的灵活安全的 SSH

mdamanulla

如果您定期阅读此博客您可能会使用名为 SSH 的小工具，尤其是它无处不在且最流行的实现OpenSSH。 也许你足够聪明，只将它与公钥/私钥一起使用，因此可以保护自己免受字典攻击。如果您这样做了，那么您就知道为了配置对新主机的访问，您需要为该主机制作一份公钥副本（通常是将其写入磁盘）。如果您有许多主机，管理密钥可能会很痛苦，尤其是当您需要更新其中一个密钥时。如果 DNSSEC 可以提供帮助会怎样？ 管理密钥可能很痛苦 CC BY 2.0 图片由William Neuheisel提供 随着OpenSSH 6.2 版的出现，远程主机能够以自定义方式检索公钥，而不是目录中的典型authorized_keys文件~。

例如您可以收集一组需要访问单个 巴基斯坦电话号码 服务器（例如LDAP 服务器）上多台机器的用户的密钥，并让所有主机在需要公钥时查询该服务器尝试登录的用户。这可以节省authorized_keys每台主机上的大量文件编辑工作。缺点是必须信任这些主机从中检索公钥的来源。专用网络上的 LDAP 服务器可能是值得信赖的（如果维护得当），但对于在云中运行的主机来说，这并不实用。 DNSSEC 在这里很有用。没错：现在我们可以验证来自 DNS 服务器的响应，我们可以安全地将公钥存储在 DNS 记录中。



我们会将它们各自的公钥存储在名为and的 TXT [1]记录中。准确地说，这些记录属于哪个区域并不重要，但我会在这里考虑我们只有一个域。要求是机器需要运行 OpenSSH 服务器版本 6.2 或更高版本 他们还需要一个 DNSSEC 验证解析器（我们将使用unbound-host） Alice 和 Bob 的密钥长度需要少于 256 个字符（ECDSA 或 Ed25519 密钥都可以） 需要在域上正确设置exampleDNSSEC （惊喜！） 爱丽丝和鲍勃像这样生成密钥 或者像这样。