[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Schwache SSH-Keys und authorized_keys
[Thread Prev] | [Thread Next]
- Subject: Re: Schwache SSH-Keys und authorized_keys
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Sat, 17 May 2008 10:21:59 +0200
- To: uugrn@xxxxxxxxxxxxxxx
On Sat, May 17, 2008 at 03:50:14AM +0200, Raphael Becker wrote: > Hmm, also duerfte alle derzeit rumliegenden DSA-Keys einsammeln und auf > eine Blackliste setzen. Debian hat fuer seine Infrastruktur alle DSA-Keys komplett gekickt. Wer dann DSA-Keys neu eintraegt, ist halt selbst dafuer verantwortlich. > Die Frage ist, wie man eine solche Blacklist an den sshd anflanscht, Debian hat dafuer einen Patch gegen OpenSSH gebaut, um bekannt schwache RSA-Keys abzuweisen. > Andere Strategien? Alle User-Keys loeschen halte ich fuer die schlechteste > aller pragmatischen Ansaetze. Aber es ist die sicherste. > Anderes Konzept fuer einen offenen, aber nicht "wide-open" ssh-Zugang auf > shell.uugrn.org? Leider nur Placebos wie "sshd auf einem anderen Port lauschen lassen". Auf IPs festnageln duerfte bei euch ja eher nicht gehen. Auf ganz sicheren Systemen verlange ich eine Authentifikation per OpenVPN, bevor ssh benutzt werden kann, aber das verlagert das Problem natuerlich nur auf einen etwas weniger weit verbreiteten Dienst. Gruesse Marc, der in den letzten Tagen ganz schoen ueber seine Debian-Monokultur geflucht hat, bei dem aber die Katastrophe nicht so schlimm war weil die meisten Systeme und Keys alt genug sind und der seit 2001 keine DSA-Keys mehr verwendet *puh* -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 72739834 Nordisch by Nature | How to make an American Quilt | Fax: *49 3221 2323190 -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/