Arch Linux

stefanhusmann

Moderator

Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Aufgrund kürzlich erkannter Gefährdungspotenziale unterstützt die neue Version von openssh Schlüssel vom Typ ssh-dss, auch bekannt als DSA-Schlüssel, nicht mehr.
Siehe auch die Ankündigung des openssh-Teams.

Bevor man also den ssh-Dämon auf einem fernen Host nach der Aktualisierung des Paketes neu startet, sollte man sicherstellen, auf solche Schlüssel verzichten zu können.
Ob dies so ist, kann zunächst durch

grep ssh-dss ~/.ssh/authorized_keys

geprüft werden. Für Treffer sollte man eine alternative Verbindungsmethode am Start haben, zum Beispiel ein anderes Schlüsselpaar oder die Möglichkeit, sich mittels Benutzernamen und Passwort zu verbinden.

Edit: Bei der Erstanmeldung am fernen Host ist auch die erneute Bestätigung des Fingerprints nötig.

progressive

Gast

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Hat jemand einen Link zu den kürzlich erkannten VULNs von DSA Keys? Kann im Internet weit und breit nichts finden.

Schard-nologin

Gast

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Hat jemand einen Link zu den kürzlich erkannten VULNs von DSA Keys? Kann im Internet weit und breit nichts finden.

Von einem neuen Sicherheitsproblem hab ich auch nichts gehört.
Ein solches geht auch nicht aus dem Changelog des SSH Teams hervor:

Support for ssh-dss, ssh-dss-cert-* host and user keys is disabled
   by default at run-time. These may be re-enabled using the
   instructions at http://www.openssh.com/legacy.html

Also braucht man seine alten DSS Keys auch nicht weg zu werfen, sondern man kann wie dort beschrieben den Legacy-Support für DSS verwenden.

Creshal

Mitglied

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Ach, Kinder. DSS ist seit mindestens 1997 veraltet, stellt euch nicht so an.

Schard-nologin

Gast

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Ach, Kinder. DSS ist seit mindestens 1997 veraltet, stellt euch nicht so an.

Keiner stellt sich hier an. Ich bin auch nicht betroffen.
Ich verwende seit April sowohl in der Firma als auch privat nur noch Ed25519 Keys.

Martin-MS

Mitglied

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Ich hatte die Lösung dank des englischsprachigen Wikis selber gefunden und deshalb den Beitrag zurückgezogen.
Das Problem war nicht ein DSA-Schlüssel, ich konnte mich nämlich als Benutzer anmelden aber nicht als root. In der Version 7.0 hat es noch eine weitere Änderung gegeben die hier unerwähnt blieb. Und zwar wird "PermitRootLogin" jetzt default mit "prohibit-password" besetzt, dass die Anmeldung verhinderte. Nachdem ich in "sshd_config" den Wert auf "yes" setzte funktionierte auch wieder die root-Anmeldung.