[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: SSH-Konfiguration shell.uugrn.org
[Thread Prev] | [Thread Next]
- Subject: Re: SSH-Konfiguration shell.uugrn.org
- From: Christian Weisgerber <naddy@xxxxxxxxxxxx>
- Date: Sun, 6 Apr 2025 22:41:10 +0200
- To: uugrn@xxxxxxxxx
Marc Haber: > > Ja, also das wirkt insgesamt in sich widersprüchlich und nicht recht > > durchdacht. > > Gibt's Dich auch in konstruktiv? Mein anfangs erwähnter Vorschlag war, einfach die Voreinstellungen von OpenSSH zu übernehmen. > Ich meine, in Github-Lingo würde man das einen Pullrequest nennen. Triviales Diff weiter unten. Aber irgendwoher müssen diese Einstellungen ja kommen. Vielleicht hast du oder sonstwer eine begründete Meinung dazu, dann könnte man das besprechen. (Z.B. habe ich anderswo Zugang zu einem hoffnungslos veralteten System, wo ich vorgeschlagen hatte, doch einen ECDSA-Hostkey zu erzeugen, damit ich clientseitig kein HostKeyAlgorithms=+ssh-rsa mitschleppen muss. Der Admin hat das abgelehnt, da er seit dem Zufallszahlenbug in Debian anno 2008 den Zufallszahlengeneratoren nicht mehr traut und ECDSA für den Fall des Signierens verschiedener Nachrichten mit demselben Parameter k, der eigentlich zufällig sein müsste, den privaten Schlüssel rausleckt. Das ist eine begründete Meinung, auch wenn ich diese Risikobewertung nicht teile.) --- sshd_config.orig 2025-04-06 21:58:41.757264000 +0200 +++ sshd_config 2025-04-06 21:59:12.924488000 +0200 @@ -22,13 +22,6 @@ # Ciphers and keying #RekeyLimit default none ## ansibilize? -HostKeyAlgorithms ssh-ed25519-cert-v01@xxxxxxxxxxx,ssh-ed25519 -KexAlgorithms curve25519-sha256 -Ciphers chacha20-poly1305@xxxxxxxxxxx,aes256-gcm@xxxxxxxxxxx -MACs hmac-sha2-512-etm@xxxxxxxxxxx -HostbasedAcceptedKeyTypes ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519 -PubkeyAcceptedAlgorithms sk-ecdsa-sha2-nistp256@xxxxxxxxxxx,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@xxxxxxxxxxx,ssh-ed25519,rsa-sha2-512 -CASignatureAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519 # Logging #SyslogFacility AUTH -- Christian "naddy" Weisgerber naddy@xxxxxxxxxxxx -- Unix User Group Rhein-Neckar e.V.: https://www.uugrn.org Archiv und An-/Abmeldung: https://mail2.uugrn.org Social Media: https://social.uugrn.org
| Re: SSH-Konfiguration shell.uugrn.org | Christian Weisgerber <naddy@xxxxxxxxxxxx> |
| SSH-Konfiguration shell.uugrn.org | Christian Weisgerber <naddy@xxxxxxxxxxxx> |
| Re: SSH-Konfiguration shell.uugrn.org | Marc Haber <mh+uugrn@xxxxxxxxxxxx> |