Projet

Général

Profil

Actions

Demande #4442

fermé

Mauvais records SSHFP

Ajouté par François Poulain il y a plus de 4 ans. Mis à jour il y a environ 3 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Catégorie:
-
Version cible:
Début:
26/04/2020
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

J'ai régulièrement des blague du genre :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Y4VJta0pCoebsbPvX4N/D6L6+gs/fEQpu25vrkR44sI.
Please contact your system administrator.
Update the SSHFP RR in DNS with the new host key to get rid of this message.

Ça fait pas très sérieux. :)

Mis à jour par Christian P. Momon il y a plus de 4 ans

Depuis 2016, ni les clés, ni les déclarations SSHFP DNS n'ont été modifiées.
Du coup, pourquoi les valeurs du DNS ne sont plus bonnes ?
À quelle occasion ce message d'avertissement ?

Mis à jour par Quentin Gibeaux il y a plus de 4 ans

  • Assigné à mis à François Poulain

Mis à jour par Quentin Gibeaux il y a plus de 4 ans

  • Version cible changé de Backlog à Septembre 2020

Mis à jour par Quentin Gibeaux il y a environ 4 ans

  • Version cible changé de Septembre 2020 à Octobre 2020

Mis à jour par Quentin Gibeaux il y a environ 4 ans

  • Version cible changé de Octobre 2020 à Novembre 2020

Mis à jour par Quentin Gibeaux il y a environ 4 ans

  • Version cible changé de Novembre 2020 à Décembre 2020

Mis à jour par François Poulain il y a environ 4 ans

Christian P. Momon a écrit :

Depuis 2016, ni les clés, ni les déclarations SSHFP DNS n'ont été modifiées.
Du coup, pourquoi les valeurs du DNS ne sont plus bonnes ?

Je ne sais plus mais je crois que les host keys ont changé entre temps.

À quelle occasion ce message d'avertissement ?

Il faut ajouter -o VerifyHostKeyDNS=ask à ton client. Chez moi je l'avait en config globale. C'est un peu l'équivalent de DANE mais pour ssh. Sans recours à DNSSEC c'est d'un intérêt mineur. Mais avec l'arrivée de DoH/DoT ça peut avoir un intérêt certain (j'ai pas creusé).

Mis à jour par Quentin Gibeaux il y a presque 4 ans

  • Version cible changé de Décembre 2020 à Janvier 2021

Mis à jour par Quentin Gibeaux il y a presque 4 ans

  • Version cible changé de Janvier 2021 à Février 2021

Mis à jour par Quentin Gibeaux il y a presque 4 ans

  • Version cible changé de Février 2021 à Mars 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Mars 2021 à Avril 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Avril 2021 à Mai 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Mai 2021 à Juin 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Juin 2021 à Été 2021

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Version cible changé de Été 2021 à Septembre 2021

Mis à jour par Quentin Gibeaux il y a environ 3 ans

  • Version cible changé de Septembre 2021 à Octobre 2021

Mis à jour par Quentin Gibeaux il y a environ 3 ans

  • Version cible changé de Octobre 2021 à Novembre 2021

Mis à jour par François Poulain il y a environ 3 ans

  • Statut changé de Nouveau à Résolu

Non beh les records SSHFP sont OK. C'est ma conf SSH pour accéder à félicette qui était KO. Vérifié suite à la migration chez Hetzner.

Mis à jour par Quentin Gibeaux il y a environ 3 ans

  • Statut changé de Résolu à Fermé
Actions

Formats disponibles : Atom PDF