SSHFP | Fluid Dynamics Lab. Kyoto Univ.

うっかりFreeIPAサーバーのSSHFPを消去してしまった場合，復元できます．

SSHFPの内容を確認

# kinit admin
# Password: いつものいつもの
# ipa host-show h111.229.249.10.1016485.vlan.kuins.net
Host name: h111.229.249.10.1016485.vlan.kuins.net
 Platform: x86_64
 Operating system: 4.18.0-394.el8.x86_64
 Principal name: host/h111.229.249.10.1016485.vlan.kuins.net@229.249.10.1016485.VLAN.KUINS.NET
 Principal alias: host/h111.229.249.10.1016485.vlan.kuins.net@229.249.10.1016485.VLAN.KUINS.NET
 SSH public key fingerprint: SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX (ecdsa-sha2-nistp256),
                             SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX (ssh-ed25519),
                             SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX (ssh-rsa)
 ...

正常なら，このようにSSHFPが出るのであるが, これはサーバーの公開鍵 /etc/ssh/ssh_host_X_key.pub からSHA256ハッシュ値を計算したものである．だから，該当のサーバーで

# ssh-keygen -l -f ssh_host_ecdsa_key.pub
256 SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

ってな調子で計算できるものですねん．ハッシュ値合わせて, 正しい公開鍵持っているかどうかを高速に判定しようってやつだな. WebMixで差分係数保存するのに使ってるのと同じ方法やな．あ？FreeIPAで登録してあるのは，ssh-keygen -r で作成したものっぽいな．該当のマシンで実行すると, そのサーバーでfingerprint作成してくれるみたいだな：

h111 # ssh-keygen -r h111.229.249.10.1016485.vlan.kuins.net -f /etc/ssh/ssh_host_rsa_key.pub
h111.229.249.10.1016485.vlan.kuins.net IN SSHFP 1 1 YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
h111.229.249.10.1016485.vlan.kuins.net IN SSHFP 1 2 ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
　　　上が RSA公開鍵を SHA-1ハッシュしたの, 下がSHA-256ハッシュしたの
h111 # ssh-keygen -r h111.229.249.10.1016485.vlan.kuins.net -f /etc/ssh/ssh_host_ecdsa_key.pub
h111.229.249.10.1016485.vlan.kuins.net IN SSHFP 3 1 yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy
h111.229.249.10.1016485.vlan.kuins.net IN SSHFP 3 2 zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
      こりゃECDSAってやつですかね
h111 # ssh-keygen -r h111.229.249.10.1016485.vlan.kuins.net -f /etc/ssh/ssh_host_ed25519_key.pub
h111.229.249.10.1016485.vlan.kuins.net IN SSHFP 4 1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
h111.229.249.10.1016485.vlan.kuins.net IN SSHFP 4 2 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      こりゃ現在KUINSおすすめ？のED25510っす

で，これらが

こういうノリで登録されているわけですね．RSAは撃破されたんで，登録するだけ無駄ですよね．

SSHFPの内容を復元

じゃ，うっかりFreeIPAで，違うマシンのSSHFPを消しちまった！でも手動で復元できます．←間抜け・・・

【Network Services】【DNS】【DNS Zones】【お前のドメイン.】で

まちがえて稼働中マシンのSSFPを消しちまったわ

まあAddすると

結構わかりやすい聞き方してくるので，ssh-keygen の出力を入れ解けば良い