Wichtig: OpenSSL Schlüssel in Debian unsicher

Wichtig: OpenSSL Schlüssel in Debian unsicher - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: Wichtig: OpenSSL Schlüssel in Debian unsicher (/thread-3298.html)

Pages: 1 2

openssh-blacklist was not installed automatically on the update of ssh - fulltilt - 05-18-2008 11:34 PM

openssh-blacklist wird nicht automatisch beim update mitinstalliert, bzw. ist noch kein ssh Update erfolgt.
Daher kann man das Tool zum prüfen der Keys nicht verwenden:

Um alle Schlüssel auf dem System zu überprüfen:

Code:

ssh-vulnkey -a

Hierzu ist auch noch ein Update nötig:

Code:

apt-get update

apt-get install openssh-client openssh-server

Danach kann man ssh-vulnkey -a verwenden

Vorsicht: am besten mit 2 Shells arbeiten und vorher auf einer VM testen.

RE: Wichtig: OpenSSL Schlüssel in Debian unsicher - FeG - 05-20-2008 01:28 AM

fulltilt Wrote:Hatte Monit mit einem SSL Zertifikat abgesichert wie im HowTo beschrieben.
Sollte dieses auch neu erstellt werden?

Ja, denn ich gehe mal nicht davon aus, dass es vor 2006 erstellt wurde. Alle Zertifikate seitdem sollten als geknackt betrachtet werden.

Quote:Habe das mal versucht, bekomme dabei eine Fehlermeldung:

Code:

error on line -1 of ./monit.cnf 17459:error:02001002:system library:fopen:No such file or directory:bss_file.c:122:fopen('./monit.cnf','rb')

Sieht ganz so aus, als würde die Datei nicht existieren ("No such file or directory") .. vielleicht liegt die nicht in ./ sondern in /etc/monit ?

Gruß
FeG

RE: Wichtig: OpenSSL Schlüssel in Debian unsicher - fulltilt - 05-20-2008 01:39 AM

FeG Wrote:Ja, denn ich gehe mal nicht davon aus, dass es vor 2006 erstellt wurde. Alle Zertifikate seitdem sollten als geknackt betrachtet werden.

Dann gibt es noch diese Ordner die mit der Installation erstellt wurden, da liegen auch jede Menge .pem rum
/etc/postfix/ssl/demoCA
/usr/lib/courier/rootcerts

Edit:
Habe /etc/postfix/ssl/demoCA neu erstellt mit /usr/lib/ssl/misc/CA.pl -newca
zu den rootcerts - keine Ahnung was damit passieren soll.

RE: Wichtig: OpenSSL Schlüssel in Debian unsicher - fulltilt - 05-20-2008 07:30 PM

Hat jemand eine Ahnung wie ich die rootcerts in /usr/lib/courier/rootcerts neu erstellen lasse oder updaten kann?

Bzw. diese Dateien wurden angelegt bei der courier-ssl Installation, habe da mal auf einer VM getestet mit --purge remove und dann courier-ssl neu installiert. Datum vorher bei den Rootcerts war Feb. 07 und jetzt ist es imer noch Feb 07 - hat sich also nix geändert.
Ich habe auch nichts darüber finden können was mit den .pem in /rootcerts geschehen soll ..
Normal müssten diese doch auch erneuert werden oder?

RE: Wichtig: OpenSSL Schlüssel in Debian unsicher - Gos77 - 05-20-2008 09:03 PM

Hallo zusammen,

nach Aussage von unserer Security-Support-Firma sind alle generierten Schlüssel betroffen und sollten neu generiert werden.

ssh, apache, postgres, etc.

Zudem ist natürlich auch Ubuntu und entsprechende Derivate betroffen.

Bei Ubuntu musste ich ein:

apt-get update
apt-get dist-upgrade

ausführen, um die aktualisierten Pakete installiert zu bekommen. Sonst werden nämlich openssh-client, openssh-server und libssl (bin mit grad nicht sicher wie die genau hieß Wink

) zurückgehalten. dist-upgrade führt KEIN Upgrade auf eine neue Version der Distribution durch!

Link-Sammlung:
http://wiki.debian.org/SSLkeys - Vorgehensweise zum regenerieren von neuen SSLKeys (Debian, auch für Ubuntu zutreffend)
http://www.heise.de/security/Der-kleine-OpenSSL-Wegweiser--/artikel/108001/0 - Wegweiser vom Heise Verlag

Falls ich noch nähere Infos erhalte oder herausfinde, folgen sie demnächst.

Änderungen:

Linksammlung hinzugefügt

RE: Wichtig: OpenSSL Schlüssel in Debian unsicher - BeNe - 05-21-2008 09:30 PM

Für alle die noch Keys ändern müssen und eine Authentifizierung ohne Passwort haben (Backupscripts, Nagios usw.), hier ein kleines Shell Script was die Arbeit etwas abnimmt Wink

Code:

#!/bin/sh

echo

echo This script will help you setup ssh public key authentication.

host=dummy

while [ -n "$host" ]; do

echo -n "SSH server: "

read host

if [ -n "$host" ]; then

echo -n "user[$USER]: "

read usr

if [ -z "$usr" ]; then

usr=$USER

fi

echo "Setting up RSA authentication for ${usr}@${host}..."

if [ -f ~/.ssh/id_rsa.pub ]; then

echo "RSA public key OK."

else

ssh-keygen -t rsa -f ~/.ssh/id_rsa -N ""

fi

scp -P2222  ~/.ssh/id_rsa.pub ${usr}@${host}:~/

ssh ${usr}@${host} -p2222 "if [ ! -d ~/.ssh ]; then

mkdir ~/.ssh

fi

cat ~/id_rsa.pub >> ~/.ssh/authorized_keys

chmod 0600 ~/.ssh/authorized_keys

rm ~/id_rsa.pub"

echo

echo "You should see the following message without being prompted for anything now..."

echo

ssh ${usr}@${host} "echo !!! Congratulations, you are now logged in as ${usr}@${host} !!!"

echo

echo "If you were prompted, public key authentication could not be configured..."

echo

echo "Enter a blank servername when done."

echo

fi

done

echo "End of configuration."

!!! WICHTIG !!!
Der SSH Befehl greift bei mir auf Port "2222" zu.
Bitte entsprechend abändern oder ganz weglassen.

Greez BeNe