Re: OpenSSH/OpenSSL

[kanou <kanou@gmx.ch>]

Nun, ich habe neue Schlüssel erstellt. Habe aber eben gelesen, daß ich  
wohl noch ein dist-upgrade durchführen muß. Vielleicht ist es das.  
Kann leider erst morgen wieder an die Kiste vor Ort. Werde dann  
schreiben, ob es das war.

Allerdings habe ich noch einige alte Debian-Server, mit Woody und  
Sarge. Ich bin da etwas verunsichert, ssh zu aktualisieren, da apt  
dann immer ganz viele neue Pakete einspielen möchte und ich mich vor  
großen Updates etwas fürchte.

Kann ich ssh/ssl mittels -f upgraden? So daß es die anderen Pakete in  
Ruhe läßt? Oder macht das die Kiste dann erst recht instabil?
kanou

Am 27.07.2008 um 22:27 schrieb Tobias Nissen:

> kanou wrote:
> > Nach dem großen SSL-Debakel im Frühjahr, habe ich nun einige Server
> > aktualisiert und die neusten Updates eingespielt (etwas spät - ich
> > weiß). Leider können wir uns nun bei einigen Kisten nicht mehr
> > mittels ssh anmelden. Ich habe natürlich jetzt schon einiges gelesen,
> > aber ich bekomme es trotzdem nicht hin. Wenn wir veruschen uns von
> > einem entfernten Rechner anzumelden, so erscheint immer nur:
> > "Connection closed by ServerIP".
> > Die Ports sind offen, ich habe neue Schlüssel erstellt, ssh auf die
> > neuste Version angehoben, aber es klappt einfach nicht.
>
> Benutzt Du bei der schlüsselbasierten Authentifiziereung ganz sicher
> auf den Clients einen /frischen/ Schlüssel, also einen nicht-schwachen
> Schlüssel? Wenn Du nämlich mit einem schwachen Schlüssel die  
> Verbindung
> versuchst, wird der (aktualisierte) Server diesen abweisen, weil er  
> auf
> der Blacklist steht. (Die Schwachstelle bezieht sich ja nicht nur auf
> Server sondern insbesondere auf Clients.)
>
> > Muß ich Schlüssel, die ich auf einem Server erstelle auch an den
> > Client schicken?
>
> Ne. Der Client merkt, dass sich der Hostschlüssel geändert hat und
> macht darauf aufmerksam. Dann wäre die Fehlermeldung aber eine andere.