Re: какой-то замкнутый круг
* Dmitry E. Oboukhov <dimka@avanto.org> [2008-05-16 11:55:59+0400]
> там прикрутили блэклист к ssh
>
> ну и такая ситуация:
>
> 1. обновил ssh, поставился ssh-blacklist
> 2. перезапускаем ssh он кричит что ключи хоста в блеклисте
> 3. ок,перегенерируем эти ключи, смотрим на fingerprint'ы их, видим что
> ключи изменились и стали новые
> 4. перезапускаем ssh, попадаем в пункт 2.
>
> кричит посмотрите ман ssh-vulnkey, а в мане нифига на эту тему не
> написано
> что делать, кто разобрался?
>
> ssh в итоге отбивает все входящие соединения с криками в auth.log:
>
> May 16 11:53:56 vds sshd[10207]: error: Host key
> aa:a2:9d:19:d3:08:92:60:21:39:94:c0:78:15:cc:00 blacklisted (see ssh-vulnkey(1))
> May 16 11:53:56 vds sshd[10207]: error: Host key
> 22:d7:16:36:65:64:97:ea:b5:ad:f7:0f:41:9e:0d:3c blacklisted (see ssh-vulnkey(1))
>
>
> зеркало с которого обновлялись пробовал ставить ftp(?:.de)?.debian.org
> в общем точно обновлено до посл ревизии
Я с подобным чуть не влип...
В первый же день, когда стал известен баг, перегенерировал ключи,
обновил на всех хостах.
Сегодня вдруг приходит уведомление с code.haskell.org, что мой аккаунт
заблокировали из-за скомпроментированного ключа (нашли его в блеклисте).
Ругаясь, пошел устаналивать тот блеклист. Таки да, там есть мой новый
ключ. Генерирую еще один -- и он там же.
В итоге проблема оказалась в том, что OpenSSL-то я обновил, а OpenSSH
нет, и он продолжал генерировать слабые ключи. И если бы не заботливые
админы code.haskell.org...
Интересно, а почему OpenSSH не использует OpenSSL? Тем более, что судя
по багу, код там дублируется.
--
Roman I. Cheplyaka :: http://ro-che.info/
...being in love is totally punk rock...
Reply to: