Schwache SSH-Keys und authorized_keys

Autor: Raphael Becker <rabe_at_uugrn.org>
Datum: Thu, 15 May 2008 17:34:54 +0200
Hallo zusammen,

vermutlich hat sich inzwischen rumgesprochen, dass da draussen
WideOpenSSH-Implementierungen im Einsatz sind. Da das Problem nicht
durch ein Update der eigenen Software zu beheben ist, sondern potenziell
bekannte Private Keys verwendet werden, muss man den Einsatz dieser
(verwundbaren) Schlüssel unterbinden.

Konkret bedeutet das bei UUGRN, dass ich auf unseren Systemen alls (58)
gefundenen authorized_keys-Dateien gecheckt habe und, sofern schwache
Schlüssel erkannt wurden, diese Dateien insgesamt umbenannt habe, sodass 
für die betroffenen User kein passwortloses Login möglich ist.
(Ja, es gibt mehr als einen betroffenen User!)

Wer automatisiert SSH-Logins auf ein UUGRN-System durchführt und
annehmen muss, dass in seinem authorized_keys File auch "betroffene"
Public-Keys abgelegt sein könnten, sollte dies überprüfen und ggf
reparieren.

Gruß
Raphael

-- 
Raphael Becker          <rabe@uugrn.org>          http://rabe.uugrn.org/
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..


-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 15.05.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 15.05.2008 CEST