Du bist nicht angemeldet.

#1 15.08.2015 10:33:36

stefanhusmann
Moderator

Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Aufgrund kürzlich erkannter Gefährdungspotenziale unterstützt die neue Version von openssh Schlüssel vom Typ ssh-dss, auch bekannt als DSA-Schlüssel, nicht mehr.
Siehe auch die Ankündigung des openssh-Teams.

Bevor man also den ssh-Dämon auf einem fernen Host nach der Aktualisierung des Paketes neu startet, sollte man sicherstellen, auf solche Schlüssel verzichten zu können.
Ob dies so ist, kann zunächst durch

grep ssh-dss ~/.ssh/authorized_keys

geprüft werden. Für Treffer sollte man eine alternative Verbindungsmethode am Start haben, zum Beispiel ein anderes Schlüsselpaar oder die Möglichkeit, sich mittels Benutzernamen und Passwort zu verbinden.

Edit: Bei der Erstanmeldung am fernen Host ist auch die erneute Bestätigung des Fingerprints nötig.

Offline

#2 16.08.2015 11:58:52

progressive
Gast

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Hat jemand einen Link zu den kürzlich erkannten VULNs von DSA Keys? Kann im Internet weit und breit nichts finden.

#3 18.08.2015 17:04:01

Schard-nologin
Gast

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

progressive schrieb:

Hat jemand einen Link zu den kürzlich erkannten VULNs von DSA Keys? Kann im Internet weit und breit nichts finden.

Von einem neuen Sicherheitsproblem hab ich auch nichts gehört.
Ein solches geht auch nicht aus dem Changelog des SSH Teams hervor:

Damien Miller schrieb:

Support for ssh-dss, ssh-dss-cert-* host and user keys is disabled
   by default at run-time. These may be re-enabled using the
   instructions at http://www.openssh.com/legacy.html

Also braucht man seine alten DSS Keys auch nicht weg zu werfen, sondern man kann wie dort beschrieben den Legacy-Support für DSS verwenden.

#4 18.08.2015 17:36:21

Creshal
Mitglied

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Ach, Kinder. DSS ist seit mindestens 1997 veraltet, stellt euch nicht so an. smile

Offline

#5 18.08.2015 18:42:36

Schard-nologin
Gast

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Creshal schrieb:

Ach, Kinder. DSS ist seit mindestens 1997 veraltet, stellt euch nicht so an. smile

Keiner stellt sich hier an. Ich bin auch nicht betroffen.
Ich verwende seit April sowohl in der Firma als auch privat nur noch Ed25519 Keys. wink

#6 08.09.2015 21:49:32

Martin-MS
Mitglied

Re: Openssh-7.0p1 lässt ssh-dss nicht mehr zu

Ich hatte die Lösung dank des englischsprachigen Wikis selber gefunden und deshalb den Beitrag zurückgezogen.
Das Problem war nicht ein DSA-Schlüssel, ich konnte mich nämlich als Benutzer anmelden aber nicht als root. In der Version 7.0 hat es noch eine weitere Änderung gegeben die hier unerwähnt blieb. Und zwar wird "PermitRootLogin" jetzt default mit "prohibit-password" besetzt, dass die Anmeldung verhinderte. Nachdem ich in "sshd_config" den Wert auf "yes" setzte funktionierte auch wieder die root-Anmeldung.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums