Freitag, 16. Mai 2008

Unsichere ssh-Schlüssel in Debian, Teil 2

Nachdem ich die User-Keys für root aktualisiert habe, dachte ich eigentlich, dass ich auf der sicheren Seite bin. Aber denkste.

Eins der zahlreichen Testtools gibt folgende Ausgabe:

//NSLU2~/key-test# ./dowkd.pl host nslu2
# nslu2 SSH-2.0-OpenSSH_4.3p2 Debian-9
# nslu2 SSH-2.0-OpenSSH_4.3p2 Debian-9
nslu2: weak key
nslu2: weak key
summary: keys found: 2, weak keys: 2

Hmm, klar. Die ssh-Host-Keys gibt's ja auch noch. :-(

Also auf ein neues - als erstes die existierenden Schlüssel sichern.

//NSLU2~# cd /etc/ssh
//NSLU2/etc/ssh# mkdir old
//NSLU2/etc/ssh# ll
insgesamt 164
-rw-r--r-- 1 root root 132777 2007-03-05 18:58 moduli
drwxr-xr-x 2 root root 4096 2008-05-16 18:37 old
-rw-r--r-- 1 root root 1424 2007-03-05 18:58 ssh_config
-rw-r--r-- 1 root root 1871 2007-09-23 20:57 sshd_config
-rw------- 1 root root 668 2008-05-16 19:20 ssh_host_dsa_key
-rw-r--r-- 1 root root 600 2008-05-16 19:20 ssh_host_dsa_key.pub
-rw------- 1 root root 1675 2008-05-16 19:20 ssh_host_rsa_key
-rw-r--r-- 1 root root 392 2008-05-16 19:20 ssh_host_rsa_key.pub
//NSLU2/etc/ssh# mv ssh_h* old/

Dann das ganze openssh-Geraffel am besten neu konfigurieren (dem Internet sei Dank):

//NSLU2/etc/ssh# dpkg-reconfigure -p low openssh-server
Creating SSH2 RSA key; this may take some time ...
Creating SSH2 DSA key; this may take some time ...
Restarting OpenBSD Secure Shell server: sshd.

Das war's schon, zumindest wenn man dem Test mit dowkd.pl glauben kann:

//NSLU2~/key-test# ./dowkd.pl host nslu2
# nslu2 SSH-2.0-OpenSSH_4.3p2 Debian-9
# nslu2 SSH-2.0-OpenSSH_4.3p2 Debian-9
summary: keys found: 2, weak keys: 0

Beim nächsten Verbinden mit ssh wird es eine Warnung geben, dass der Host Key sich geändert hat und man eventuell gerade mit einem falschen Rechner verbunden ist. Nun ja, aber die Änderung haben wir ja gerade selbst veranlasst - also alles okay.

Insgesamt ist das eine extrem peinliche Aktion für die ganze Linux-Community!

Ich denke, dass die Seiteneffekte noch gar nicht absehbar sind. Heise hat auch nochmal mit einer Sonderseite nachgelegt, um soviel User wie möglich zu informieren ...

OpenVPN muss ich mir dann bei Gelegenheit auch nochmal anschauen, aber nicht heute ;-)

blog comments powered by Disqus

Design von Dicas Blogger, angepasst durch Mario Ruprecht