Re: Dateizugriff via Internet

To: debian-user-german@lists.debian.org
Subject: Re: Dateizugriff via Internet
From: Sascha Reißner <reiszner@novaplan.at>
Date: Sun, 08 Aug 2010 02:30:42 +0200
Message-id: <1281227442.2560.15.camel@alpha.local>
In-reply-to: <201008061623.56242.Martin@lichtvoll.de>
References: <4C5199D1.8000008@jan-kappler.de> <201008061605.00051.Martin@lichtvoll.de> <20100806141806.GT17065@pfmaster.artcom-gmbh.de> (sfid-20100806_162046_361780_A4D60551) <201008061623.56242.Martin@lichtvoll.de>

Am Freitag, den 06.08.2010, 16:23 +0200 schrieb Martin Steigerwald:
> Auch an Liste, da für denke ich für alle interessant:
> 
> Am Freitag 06 August 2010 schrieben Sie:
> > Hallo,
> > 
> > Martin Steigerwald schrieb am Freitag, den 06.08.2010 um 16:04:
> > > Am Donnerstag 29 Juli 2010 schrieb Sascha Reißner:
> > > > > Zu Hause warte ich den Server per ssh (mit DSA-Schlüsseln) von
> > > > > der Workstation aus. Es wäre nicht schlecht, wenn dies von
> > > > > "außen" auch möglich wäre, nur ist mir nicht wohl dabei,
> > > > > root-Zugriff zuzulassen. Wie kann man denn alternativ - lesend -
> > > > > auf Logdateien zugreifen, z.B. mit mc?
> > > > 
> > > > Du könntest einen DSA-Schlüssel für deinen User am Server anlegen
> > > > und root-login verbieten. Dann kannst du dich mit dem
> > > > DSA-Schlüssel als User per ssh anmelden und erst danach mit su
> > > > root werden.
> > > > Wenn die VPN-Verbindung steht, kannst du auch die SSH-Verbindung
> > > > auf die interne IP machen, da du
> > > 
> > > Bitte kein DSA: Siehe DSA-1571-1 ;-).
> > 
> > 1571 spricht doch nicht grundsätzlich gegen das DSA-Verfahren, oder?
> > DSA-Schlüssel die mit Software von vor dem Einbau des Fehlers im
> > September 2006 oder von nach der Korrektur dieses Fehlers im Mai
> > 2008 erzeugt wurden, sollten doch weiterhin genauso sicher sein wie
> > bisher auch.  Außerdem hat dieser Fehler doch alle Schlüsselarten
> > (also auch RSA ?) betroffen.
> 
> Lies genauer.
> 
> Da steht auch drin, dass wenn man mit einem DSA-Schlüssel via SSH auf eine 
> Debian-Box mit dieser Sicherheitslücke verbindet, der DSA-Schlüssel 
> kompromittiert ist. Wie genau das kommt, hab ich ganz ehrlich gesagt 
> damals auch schon nicht verstanden. ;)

Durch den Fehler in der Software zur Schlüsselberechnung wurde die
Entrophie ausser kraft gesetzt, wodurch nur noch 32768 Schlüsseln
möglich waren.

Nach dem erkennen des Fehlers, wurden genau diese 32768 Schlüssel auf
die Blacklist gesetzt. Diese Blacklist sollte mit dem Paket
openssh-server automatisch mitinstalliert werden. Das Paket heisst
openssh-blacklist. Es gibt zusätzlich noch das Paket
openssh-blacklist-extra daß ebenfalls schlechte Schlüsseln ethält, die
aber nicht standardmäßig von OpenSSH verwendet werden.

Ich hab damals meine Server per SSH upgedatet, wobei ssh-vulnkeys meine
Schlüssel gleich als schlecht erkannte und mich vom Server schmiss.

> Auch wenn jeder verantwortungsvolle Admin längst seine Debian-Maschinen 
> aktualisiert haben sollte, würde ich mich darauf nicht verlassen und 
> lieber auf Nummer sicher gehen.

Alle Schlüsseln die nach Behebung des Fehlers generiert wurden, bieten
die volle Sicherheit wie es sein soll.
Wenn du auf Nummer Sicher gehen willst, kannst du als root den Befehl

# ssh-vulnkey -av

absetzen.

mfG Sascha

Reply to:

Follow-Ups:
- Re: Dateizugriff via Internet
  - From: Martin Steigerwald <Martin@lichtvoll.de>

References:
- Re: Dateizugriff via Internet
  - From: Martin Steigerwald <Martin@lichtvoll.de>
- Re: Dateizugriff via Internet
  - From: Martin Steigerwald <Martin@lichtvoll.de>

Prev by Date: Re: Debian-Installation über SOL
Next by Date: OpenLDAP - Schema aus LDIF
Previous by thread: Re: Dateizugriff via Internet
Next by thread: Re: Dateizugriff via Internet
Index(es):
- Date
- Thread