Am Sonntag 08 August 2010 schrieb Sascha Reißner: > Am Freitag, den 06.08.2010, 16:23 +0200 schrieb Martin Steigerwald: > > Auch an Liste, da für denke ich für alle interessant: > > > > Am Freitag 06 August 2010 schrieben Sie: > > > Hallo, > > > > > > Martin Steigerwald schrieb am Freitag, den 06.08.2010 um 16:04: > > > > Am Donnerstag 29 Juli 2010 schrieb Sascha Reißner: > > > > > > Zu Hause warte ich den Server per ssh (mit DSA-Schlüsseln) > > > > > > von der Workstation aus. Es wäre nicht schlecht, wenn dies > > > > > > von "außen" auch möglich wäre, nur ist mir nicht wohl dabei, > > > > > > root-Zugriff zuzulassen. Wie kann man denn alternativ - > > > > > > lesend - auf Logdateien zugreifen, z.B. mit mc? > > > > > > > > > > Du könntest einen DSA-Schlüssel für deinen User am Server > > > > > anlegen und root-login verbieten. Dann kannst du dich mit dem > > > > > DSA-Schlüssel als User per ssh anmelden und erst danach mit su > > > > > root werden. > > > > > Wenn die VPN-Verbindung steht, kannst du auch die > > > > > SSH-Verbindung auf die interne IP machen, da du > > > > > > > > Bitte kein DSA: Siehe DSA-1571-1 ;-). > > > > > > 1571 spricht doch nicht grundsätzlich gegen das DSA-Verfahren, > > > oder? DSA-Schlüssel die mit Software von vor dem Einbau des > > > Fehlers im September 2006 oder von nach der Korrektur dieses > > > Fehlers im Mai 2008 erzeugt wurden, sollten doch weiterhin genauso > > > sicher sein wie bisher auch. Außerdem hat dieser Fehler doch alle > > > Schlüsselarten (also auch RSA ?) betroffen. > > > > Lies genauer. > > > > Da steht auch drin, dass wenn man mit einem DSA-Schlüssel via SSH auf > > eine Debian-Box mit dieser Sicherheitslücke verbindet, der > > DSA-Schlüssel kompromittiert ist. Wie genau das kommt, hab ich ganz > > ehrlich gesagt damals auch schon nicht verstanden. ;) > > Durch den Fehler in der Software zur Schlüsselberechnung wurde die > Entrophie ausser kraft gesetzt, wodurch nur noch 32768 Schlüsseln > möglich waren. > > Nach dem erkennen des Fehlers, wurden genau diese 32768 Schlüssel auf > die Blacklist gesetzt. Diese Blacklist sollte mit dem Paket > openssh-server automatisch mitinstalliert werden. Das Paket heisst > openssh-blacklist. Es gibt zusätzlich noch das Paket > openssh-blacklist-extra daß ebenfalls schlechte Schlüsseln ethält, die > aber nicht standardmäßig von OpenSSH verwendet werden. > > Ich hab damals meine Server per SSH upgedatet, wobei ssh-vulnkeys meine > Schlüssel gleich als schlecht erkannte und mich vom Server schmiss. > > > Auch wenn jeder verantwortungsvolle Admin längst seine > > Debian-Maschinen aktualisiert haben sollte, würde ich mich darauf > > nicht verlassen und lieber auf Nummer sicher gehen. > > Alle Schlüsseln die nach Behebung des Fehlers generiert wurden, bieten > die volle Sicherheit wie es sein soll. > Wenn du auf Nummer Sicher gehen willst, kannst du als root den Befehl > > # ssh-vulnkey -av > > absetzen. Ich habe nicht den Eindruck, dass Du meinen Absatz von oben erstens gelesen und zweitens auch verstanden hast: > > Da steht auch drin, dass wenn man mit einem DSA-Schlüssel via SSH auf > > eine Debian-Box mit dieser Sicherheitslücke verbindet, der > > DSA-Schlüssel kompromittiert ist. Wie genau das kommt, hab ich ganz > > ehrlich gesagt damals auch schon nicht verstanden. ;) Und zwar vollkommen egal, ob das nun eine Debian-Box von mir oder irgendjemand anderes ist. Ich würde das Risiko nicht eingehen. -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.