EDV - Ende der Vernunft » security

SSH Keys ohne Passphrase sind böse!

Joern — Wed, 27 Aug 2008 19:46:10 +0000

Ich konnte mich Anfangs nicht mit einer Passphrase für SSH anfreunden, ohne kann es aber fürchterlich nach hinten losgehen:

The US-CERT is reporting that there is active attacks against Linux environments using stolen SSH keys. There is a new rootkit out, Phalanx2 which is dropped by attackers which, among the usual rootkit tasks, steal any SSH key on a system. The attackers then, presumably, use those stolen keys (the ones without passwords/passphrases at least) to get into other machines.
SANS ISC

Glücklicherweise gibt es pam-ssh, welches die Sache wieder erträglich macht. Bei KDE muss das Benutzer-Passwort identisch mit der Passphrase sein, GDM ist so elegant und fragt danach. Anschließend merkt man von der Passphrase nichts mehr.

Debian OpenSSL Schwachstelle – Nicht die SSH-Keys vergessen

Joern — Tue, 13 May 2008 17:50:30 +0000

Die OpenSSL-Schwachstelle in Debian Etch, Ubuntu von Feisty bis Gutsy und alle anderen Derivaten kann man getrost als GAU bezeichnen, denn die Konsequenzen können dramatisch sein. Leute die öfters mit Verschlüsselung zu tun haben wird der Satz

It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch

alarmierend genug sein. Ubuntu ist da deutlicher:

This includes the automatically generated host keys used by OpenSSH, which are the basis for its server spoofing and man-in-the-middle protection.

Genau, eigentlich jeder mit einen Server auf dem eines der obigen Betriebs-Systemen läuft ist damit direkt von dieser Sicherheitslücke betroffen. Um, zum Beispiel auf einen Root-Server, bei Debian Etch neue Keys zu erzeugen sollte man zur Sicherheit eine zweite SSH-Session aufmachen, dann die alten Keys löschen und neue erzeugen:

 # apt-get update && apt-get -y upgrade
# cd /etc/ssh
# rm ssh_host_*
# /var/lib/dpkg/info/openssh-server.postinst configure

Danach ausloggen, den alten Key aus der ~/.ssh/know_hosts löschen und neu verbinden. Fertig.

Links for 2008-03-28

Joern — Fri, 28 Mar 2008 20:33:57 +0000

9 Improvements Needed in GNOME – 10tens: Kompletter Neuanfang *stänker*
Warum Du kein Informatiker sein willst… – Njoar
streaming from your fileserver using mpd and icecast – Das wollte ich schon immer mal machen
Automated WordPress Hacking Tool Cached by Google – Du hast ein Unterverzeichnis namens wp-content/1 ? 0w3n3d! (Danke an Kiesow für die Panikmache)

Zitat des Tages

Joern — Fri, 13 Apr 2007 17:29:10 +0000

Der Guardian-Kolumnist Andrew Brown schlägt vor den älteren Semenstern anstatt eines neues PC mit Vista einen älteren mit Xubuntu hinzustellen, wenn sie ins Internet möchten. Highlight:

Linux has been pretty secure against hackers for years now. The trouble is that until recently it was just as secure against normal users

Mehrere Sicherheitslücken in WordPress

Joern — Tue, 27 Feb 2007 17:57:46 +0000

In der unendlichen Reihe der WordPress Sicherheitslücken gibt es neues. Diesmal sind alle aktuellen Versionen betroffen und (wie immer) gibt es erst die Warnung und dann irgendwann die Patche.

Update: Oha