Re: Schwache SSH-Keys und authorized_keys

Autor: Raphael Becker <rabe_at_uugrn.org>
Datum: Sun, 18 May 2008 00:08:42 +0200
On Sat, May 17, 2008 at 02:55:15PM +0000, Christian Weisgerber wrote:
> Da OpenSSH ssh-keygen(1) per Default _R_SA-Schlüssel erzeugt, werden
> nicht allzu viele Benutzer DSA-Schlüssel haben.

In den 57 authorized_keys files mit insgesamt 156 Zeilen gibt es nur 
ganze 16 Zeilen mit "ssh-rsa" beginnen und 124 Zeilen mit "ssh-dss" 
beginnen. Der Rest sind auskommentierte Zeilen, Leerzeilen oder anderes.
 
Ich werde es wohl so machen, dass ich alle Zeilen auskommentiere, die
mit ssh-dss beginnen, das bedeutet auch alle Keys, von denen ich auf d
en ersten Blick trauen würde, zB von shell.uugrn.org!

Das bedeutet vor allem für die Mitglieder mit eigenen Jails, dass der
initiale Root-Zugang per SSH-Key von shell.uugrn.org aus nicht mehr 
funktionieren wird!! 

Meine eigenen Schlüssel werde ich ebenfalls neu generieren, da ich
annehme, mindestens einmal über das Internet zu einem debian-Server
verbunden gewesen zu sein.

Wie sieht es mit den Host Keys aus, die ganz sicher unter FreeBSD 
erstellt wurden? Sind diese durch debian-SSH-Clients gefährdet gewesen?
Ich denke mal nicht.

Gruß
Raphael


-- 
Raphael Becker          <rabe@uugrn.org>          http://rabe.uugrn.org/
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..


-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 18.05.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 18.05.2008 CEST