Re: Schwache SSH-Keys und authorized_keys

Autor: Marc Haber <mh+uugrn_at_zugschlus.de>
Datum: Sat, 17 May 2008 10:21:59 +0200
On Sat, May 17, 2008 at 03:50:14AM +0200, Raphael Becker wrote:
> Hmm, also dürfte alle derzeit rumliegenden DSA-Keys einsammeln und auf
> eine Blackliste setzen.

Debian hat für seine Infrastruktur alle DSA-Keys komplett gekickt. Wer
dann DSA-Keys neu einträgt, ist halt selbst dafür verantwortlich.

>  Die Frage ist, wie man eine solche Blacklist an den sshd anflanscht,

Debian hat dafür einen Patch gegen OpenSSH gebaut, um bekannt schwache
RSA-Keys abzuweisen.

> Andere Strategien? Alle User-Keys löschen halte ich für die schlechteste
> aller pragmatischen Ansätze.

Aber es ist die sicherste.

> Anderes Konzept für einen offenen, aber nicht "wide-open" ssh-Zugang auf
> shell.uugrn.org?

Leider nur Placebos wie "sshd auf einem anderen Port lauschen lassen".

Auf IPs festnageln dürfte bei euch ja eher nicht gehen.

Auf ganz sicheren Systemen verlange ich eine Authentifikation per
OpenVPN, bevor ssh benutzt werden kann, aber das verlagert das Problem
natürlich nur auf einen etwas weniger weit verbreiteten Dienst.

Grüße
Marc, der in den letzten Tagen ganz schön über seine Debian-Monokultur
geflucht hat, bei dem aber die Katastrophe nicht so schlimm war weil
die meisten Systeme und Keys alt genug sind und der seit 2001 keine
DSA-Keys mehr verwendet *puh*

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 3221 2323190

-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 17.05.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 17.05.2008 CEST