Current time: 11-16-2024, 07:18 AM Hello There, Guest! (LoginRegister)


Post Reply 
Wichtig: OpenSSL Schlüssel in Debian unsicher
Author Message
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #11
openssh-blacklist was not installed automatically on the update of ssh
openssh-blacklist wird nicht automatisch beim update mitinstalliert, bzw. ist noch kein ssh Update erfolgt.
Daher kann man das Tool zum prüfen der Keys nicht verwenden:

Um alle Schlüssel auf dem System zu überprüfen:
Code:
ssh-vulnkey -a
Hierzu ist auch noch ein Update nötig:
Code:
apt-get update
apt-get install openssh-client openssh-server

Danach kann man ssh-vulnkey -a verwenden

Vorsicht: am besten mit 2 Shells arbeiten und vorher auf einer VM testen.
05-18-2008 11:34 PM
Find all posts by this user Quote this message in a reply
FeG Offline
Banned

Posts: 222
Joined: Aug 2007
Post: #12
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
fulltilt Wrote:Hatte Monit mit einem SSL Zertifikat abgesichert wie im HowTo beschrieben.
Sollte dieses auch neu erstellt werden?
Ja, denn ich gehe mal nicht davon aus, dass es vor 2006 erstellt wurde. Alle Zertifikate seitdem sollten als geknackt betrachtet werden.

Quote:Habe das mal versucht, bekomme dabei eine Fehlermeldung:
Code:
error on line -1 of ./monit.cnf
17459:error:02001002:system library:fopen:No such file or directory:bss_file.c:122:fopen('./monit.cnf','rb')

Sieht ganz so aus, als würde die Datei nicht existieren ("No such file or directory") .. vielleicht liegt die nicht in ./ sondern in /etc/monit ?

Gruß
FeG
05-20-2008 01:28 AM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #13
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
FeG Wrote:Ja, denn ich gehe mal nicht davon aus, dass es vor 2006 erstellt wurde. Alle Zertifikate seitdem sollten als geknackt betrachtet werden.


Dann gibt es noch diese Ordner die mit der Installation erstellt wurden, da liegen auch jede Menge .pem rum
/etc/postfix/ssl/demoCA
/usr/lib/courier/rootcerts

Edit:
Habe /etc/postfix/ssl/demoCA neu erstellt mit /usr/lib/ssl/misc/CA.pl -newca
zu den rootcerts - keine Ahnung was damit passieren soll.
(This post was last modified: 05-20-2008 11:18 PM by fulltilt.)
05-20-2008 01:39 AM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #14
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
Hat jemand eine Ahnung wie ich die rootcerts in /usr/lib/courier/rootcerts neu erstellen lasse oder updaten kann?

Bzw. diese Dateien wurden angelegt bei der courier-ssl Installation, habe da mal auf einer VM getestet mit --purge remove und dann courier-ssl neu installiert. Datum vorher bei den Rootcerts war Feb. 07 und jetzt ist es imer noch Feb 07 - hat sich also nix geändert.
Ich habe auch nichts darüber finden können was mit den .pem in /rootcerts geschehen soll ..
Normal müssten diese doch auch erneuert werden oder?
(This post was last modified: 05-20-2008 11:17 PM by fulltilt.)
05-20-2008 07:30 PM
Find all posts by this user Quote this message in a reply
Gos77 Offline
Junior Member
*

Posts: 94
Joined: Mar 2008
Reputation: 0
Post: #15
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
Hallo zusammen,

nach Aussage von unserer Security-Support-Firma sind alle generierten Schlüssel betroffen und sollten neu generiert werden.

ssh, apache, postgres, etc.

Zudem ist natürlich auch Ubuntu und entsprechende Derivate betroffen.

Bei Ubuntu musste ich ein:

apt-get update
apt-get dist-upgrade

ausführen, um die aktualisierten Pakete installiert zu bekommen. Sonst werden nämlich openssh-client, openssh-server und libssl (bin mit grad nicht sicher wie die genau hieß Wink ) zurückgehalten. dist-upgrade führt KEIN Upgrade auf eine neue Version der Distribution durch!

Link-Sammlung:
http://wiki.debian.org/SSLkeys - Vorgehensweise zum regenerieren von neuen SSLKeys (Debian, auch für Ubuntu zutreffend)
http://www.heise.de/security/Der-kleine-...l/108001/0 - Wegweiser vom Heise Verlag

Falls ich noch nähere Infos erhalte oder herausfinde, folgen sie demnächst.

Änderungen:
  • Linksammlung hinzugefügt
(This post was last modified: 05-20-2008 09:56 PM by Gos77.)
05-20-2008 09:03 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #16
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
Für alle die noch Keys ändern müssen und eine Authentifizierung ohne Passwort haben (Backupscripts, Nagios usw.), hier ein kleines Shell Script was die Arbeit etwas abnimmt Wink

Code:
#!/bin/sh

echo
echo This script will help you setup ssh public key authentication.

host=dummy

while [ -n "$host" ]; do
echo -n "SSH server: "
read host
if [ -n "$host" ]; then
echo -n "user[$USER]: "
read usr
if [ -z "$usr" ]; then
usr=$USER
fi

echo "Setting up RSA authentication for ${usr}@${host}..."
if [ -f ~/.ssh/id_rsa.pub ]; then
echo "RSA public key OK."
else
ssh-keygen -t rsa -f ~/.ssh/id_rsa -N ""
fi
scp -P2222  ~/.ssh/id_rsa.pub ${usr}@${host}:~/
ssh ${usr}@${host} -p2222 "if [ ! -d ~/.ssh ]; then
mkdir ~/.ssh
fi
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 0600 ~/.ssh/authorized_keys
rm ~/id_rsa.pub"
echo
echo "You should see the following message without being prompted for anything now..."
echo
ssh ${usr}@${host} "echo !!! Congratulations, you are now logged in as ${usr}@${host} !!!"
echo
echo "If you were prompted, public key authentication could not be configured..."

echo
echo "Enter a blank servername when done."
echo
fi
done

echo "End of configuration."

!!! WICHTIG !!!
Der SSH Befehl greift bei mir auf Port "2222" zu.
Bitte entsprechend abändern oder ganz weglassen.

Greez BeNe
05-21-2008 09:30 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)