Re: neue ssh-Konfiguration auf shell

[Marc Haber <mh+uugrn@xxxxxxxxxxxx>]

On Wed, Jun 22, 2022 at 10:00:01PM -0000, Christian Weisgerber wrote:
> On 2022-06-22, Marc Haber <mh+uugrn@xxxxxxxxxxxx> wrote:
> > Die meisten ssh-Clients werden sich über einen anderen Hostkey
> > beschweren, weil der jetzt als Ed25519-Key daherkommt. Bitte
> > akzeptieren.
> 
> Bei solchen Ankündigungen einfach den Fingerprint mit angeben:
> SHA256:hQXRYVneSC56kuP+9lFUlKtccOMpR+PAoA1JWPhFiso

Danke, das wäre in der tat eine gute Idee gewesen.

> Außerdem hat shell.uugrn.org schon seit Längerem einen ED25519-Hostkey
> und auch denselben. In einem Backup vom November steht er schon in
> meiner ~/.ssh/known_hosts. Und es ist der Client, der auswählt,
> welchen Hostkey er will - typischerweise jenen, den er schon kennt.
> Steht z.B. ein alter RSA-Hostkey in der ~/.ssh/known_hosts, wird
> der einfach weiterverwendet. Das Auftauchen weiterer Hostkeys spielt
> keine Rolle.

Alle anderen Systeme wollten den neuen Hostkey bestätigt haben, z.B.
hier:

| [2/5123]mh@drop:~ $ ssh q
| mux_client_request_session: read from master failed: Broken pipe
| @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
| @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
| @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
| IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
| Someone could be eavesdropping on you right now (man-in-the-middle attack)!
| It is also possible that a host key has just been changed.
| The fingerprint for the ED25519 key sent by the remote host is
| SHA256:Gr1j6bTV9mZUllEbR37QDLcLFtqpM9Vee0rudHGNQ64.
| Please contact your system administrator.
| Add correct host key in /home/mh/.ssh/known_hosts to get rid of this message.
| Offending RSA key in /home/mh/.ssh/known_hosts:28
|   remove with:
|   ssh-keygen -f "/home/mh/.ssh/known_hosts" -R "q.bofh.de"
| Host key for q.bofh.de has changed and you have requested strict checking.
| Host key verification failed.
| 255 [3/5124]mh@drop:~ $   ssh-keygen -f "/home/mh/.ssh/known_hosts" -R "q.bofh.de"
| # Host q.bofh.de found: line 28
| /home/mh/.ssh/known_hosts updated.
| Original contents retained as /home/mh/.ssh/known_hosts.old
| [5/5125]mh@drop:~ $ ssh q
| The authenticity of host 'q.bofh.de (2a01:238:4244:4c00::100:100)' can't be established.
| ED25519 key fingerprint is SHA256:Gr1j6bTV9mZUllEbR37QDLcLFtqpM9Vee0rudHGNQ64.
| This key is not known by any other names
| Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
| Warning: Permanently added 'q.bofh.de' (ED25519) to the list of known hosts.
| 
|   __ _
|  / _` |
| | (_| |
|  \__, |
|     |_|
| 
| q.bofh.de (64/40), Shell Server

Aber natürlich sind diese Systeme alle älter als shell. Haben sie
vielleicht den ssh-rsa host key bevorzugt geliefert und tun es jetzt mit
der neuen Konfiguration nicht mehr?

> Was also ist das Problem?

Dass ich es auf anderen Systemen ausprobiert habe und meine Erfahrungen
zusammen schrieb.

> Seit OpenSSH 8.5 sammelt ssh(1) typischerweise alle Hostkeys ein, die
> der Server hat. Ich verweise mal auf die aktuelle Manpage:
> https://man.openbsd.org/ssh_config#UpdateHostKeys
> 
> Damit würde also nach erfolgreicher Authentisierung des Hosts mit
> dem oben beispielhaft genannten RSA-Schlüssel dann der neue
> ED25519-Schlüssel in die known_hosts eingefügt und beim nächsten
> Verbindungsaufbau prompt verwendet.

Die Realität scheint anders auszusehen.

Grüße
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Leimen, Germany    |  lose things."    Winona Ryder | Fon: *49 6224 1600402
Nordisch by Nature |  How to make an American Quilt | Fax: *49 6224 1600421

-- 
Unix User Group Rhein-Neckar e.V.       https://www.uugrn.org
Archiv und An-/Abmeldeinformationen     https://mail2.uugrn.org
Veranstaltungen https://fixme.uugrn.org https://stammtisch.uugrn.org