Alle für den DNS-Admin berechtigte Personen können nun über einzelne Einträge oder einen Massen-Import sog. Secure Shell Fingerprint (SSHFP) im DNS hinterlegen (siehe dazu RFC 4255, 6594 und 7479). Der Aufbau dieses Record-Typ (detaillierte Parameter siehe iana.org) ist:

1. SSHFP generieren

   • auf dem Server

     sudo ssh-keygen -r $HOSTNAME.$DOMAIN.rwth-aachen.de.

   • remote(via grabsshfp.sh)

     /grabsshfp.sh $HOSTNAME.$DOMAIN.rwth-aachen.de.

2. SSHFP beim Verbindungsaufbau berücksichtigen

   • pro Anfrage

     ssh -o VerifyHostKeyDNS=yes -l $USER $HOSTNAME.$DOMAIN.rwth-aachen.de.

     ssh -o FingerprintHash=sha256 -o VerifyHostKeyDNS=yes -l $USER $HOSTNAME.$DOMAIN.rwth-aachen.de.

   • gloabe SSH Client Configuration (alle SSH-Verbindungen von einem Rechner, siehe dazu "Hostname canonicalisation in OpenSSH)

     /etc/ssh/ssh_config

     CanonicalizeHostname yes CanonicalDomains $DOMAIN.rwth-aachen.de CanonicalizeMaxDots 0 CanonicalizeFallbackLocal no VerifyHostKeyDNS yes