58云玻网

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 536|回复: 0

使用 DNSSEC 的灵活安全的 SSH

[复制链接]

1

主题

1

帖子

5

积分

新手上路

Rank: 1

积分
5
发表于 2022-11-20 11:57:47 | 显示全部楼层 |阅读模式
本帖最后由 mdamanulla 于 2022-11-20 12:05 编辑

如果您定期阅读此博客您可能会使用名为 SSH 的小工具,尤其是它无处不在且最流行的实现OpenSSH。 也许你足够聪明,只将它与公钥/私钥一起使用,因此可以保护自己免受字典攻击。如果您这样做了,那么您就知道为了配置对新主机的访问,您需要为该主机制作一份公钥副本(通常是将其写入磁盘)。如果您有许多主机,管理密钥可能会很痛苦,尤其是当您需要更新其中一个密钥时。如果 DNSSEC 可以提供帮助会怎样? 管理密钥可能很痛苦 CC BY 2.0 图片由William Neuheisel提供 随着OpenSSH 6.2 版的出现,远程主机能够以自定义方式检索公钥,而不是目录中的典型authorized_keys文件~。

例如您可以收集一组需要访问单个 巴基斯坦电话号码 服务器(例如LDAP 服务器)上多台机器的用户的密钥,并让所有主机在需要公钥时查询该服务器尝试登录的用户。这可以节省authorized_keys每台主机上的大量文件编辑工作。缺点是必须信任这些主机从中检索公钥的来源。专用网络上的 LDAP 服务器可能是值得信赖的(如果维护得当),但对于在云中运行的主机来说,这并不实用。 DNSSEC 在这里很有用。没错:现在我们可以验证来自 DNS 服务器的响应,我们可以安全地将公钥存储在 DNS 记录中。



我们会将它们各自的公钥存储在名为and的 TXT [1]记录中。准确地说,这些记录属于哪个区域并不重要,但我会在这里考虑我们只有一个域。要求是机器需要运行 OpenSSH 服务器版本 6.2 或更高版本 他们还需要一个 DNSSEC 验证解析器(我们将使用unbound-host) Alice 和 Bob 的密钥长度需要少于 256 个字符(ECDSA 或 Ed25519 密钥都可以) 需要在域上正确设置exampleDNSSEC (惊喜!) 爱丽丝和鲍勃像这样生成密钥 或者像这样。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|DiscuzX ( 鲁ICP备2024066306号 )

GMT+8, 2024-11-25 08:46 , Processed in 1.064068 second(s), 18 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表