[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Schwache SSH-Keys und authorized_keys
[Thread Prev] | [Thread Next]
- Subject: Re: Schwache SSH-Keys und authorized_keys
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Fri, 16 May 2008 12:59:28 +0200
- To: uugrn@xxxxxxxxxxxxxxx
On Fri, May 16, 2008 at 12:37:08PM +0200, Raphael Becker wrote: > On Thu, May 15, 2008 at 08:32:04PM +0000, Christian Weisgerber wrote: > > Raphael Becker <rabe@xxxxxxxxx> wrote: > > > > > Konkret bedeutet das bei UUGRN, dass ich auf unseren Systemen alls (58) > > > gefundenen authorized_keys-Dateien gecheckt habe und, sofern schwache > > > Schluessel erkannt wurden, diese Dateien insgesamt umbenannt habe, sodass > > > > Hast du auch alle DSA-Schluessel rausgeworfen? > > Hmm, wenn dsa-Private keys auf UUGRN-Servern liegen, dann nehme ich per > default an, dass der Eigentuemer diesen auch dort erstellt hat. Bei DSA-Keys liegt das Problem etwas anders: Hier reicht die Benutzung eines DSA-Keys mit einem gegen das schwache Debian-OpenSSL gelinkten Clients fuer die Kompromittierung des Keys, unabhaengig davon ob der Key selbst stark oder schwach ist. Ich wuerde deswegen dringend empfehlen, alle Zeilen, die mit ssh-dss beginnen, aus authorized_keys Files rauszuwerfen, da Du nicht kontrollieren kannst, ob Deine User vielleicht ein Debian oder Ubuntu als Client benutzen. Leider kann man DSA im ssh-Daemon nicht komplett abschalten, sonst haette ich das laengst gemacht. > Ich wuesste aus dem Stand auch nicht, wie ich die diversen id_dsa-Dateien > pruefen sollte, Ob DSA-Keys auch bei Verwendung gegen einen gegen das schwache Debian-OpenSSL gelinkten Server kompromittiert werden, weiss ich nicht. Primaere Prioritaet sollte aber der Schutz der UUGRN-Systeme gegen unerwuenschte Benutzer sein, also eine Behandlung der authorized_keys-Fils gegen schwache RSA-Schluessel und grundsaetzlich gegen DSA-Schluessel.. Gruesse Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 72739834 Nordisch by Nature | How to make an American Quilt | Fax: *49 3221 2323190 -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/