On Sat, May 17, 2008 at 03:50:14AM +0200, Raphael Becker wrote: > Hmm, also dürfte alle derzeit rumliegenden DSA-Keys einsammeln und auf > eine Blackliste setzen. Debian hat für seine Infrastruktur alle DSA-Keys komplett gekickt. Wer dann DSA-Keys neu einträgt, ist halt selbst dafür verantwortlich. > Die Frage ist, wie man eine solche Blacklist an den sshd anflanscht, Debian hat dafür einen Patch gegen OpenSSH gebaut, um bekannt schwache RSA-Keys abzuweisen. > Andere Strategien? Alle User-Keys löschen halte ich für die schlechteste > aller pragmatischen Ansätze. Aber es ist die sicherste. > Anderes Konzept für einen offenen, aber nicht "wide-open" ssh-Zugang auf > shell.uugrn.org? Leider nur Placebos wie "sshd auf einem anderen Port lauschen lassen". Auf IPs festnageln dürfte bei euch ja eher nicht gehen. Auf ganz sicheren Systemen verlange ich eine Authentifikation per OpenVPN, bevor ssh benutzt werden kann, aber das verlagert das Problem natürlich nur auf einen etwas weniger weit verbreiteten Dienst. Grüße Marc, der in den letzten Tagen ganz schön über seine Debian-Monokultur geflucht hat, bei dem aber die Katastrophe nicht so schlimm war weil die meisten Systeme und Keys alt genug sind und der seit 2001 keine DSA-Keys mehr verwendet *puh* -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 72739834 Nordisch by Nature | How to make an American Quilt | Fax: *49 3221 2323190 -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/Empfangen am 17.05.2008
Dieses Archiv wurde generiert von hypermail 2.2.0 : 17.05.2008 CEST