Wichtig: OpenSSL Schlüssel in Debian unsicher

[fulltilt]

openssh-blacklist wird nicht automatisch beim update mitinstalliert, bzw. ist noch kein ssh Update erfolgt.
Daher kann man das Tool zum prüfen der Keys nicht verwenden:

Um alle Schlüssel auf dem System zu überprüfen:

Code:

ssh-vulnkey -a

Hierzu ist auch noch ein Update nötig:

Code:

apt-get update
apt-get install openssh-client openssh-server

Danach kann man ssh-vulnkey -a verwenden

Vorsicht: am besten mit 2 Shells arbeiten und vorher auf einer VM testen.

[FeG]

fulltilt Wrote:Hatte Monit mit einem SSL Zertifikat abgesichert wie im HowTo beschrieben.
Sollte dieses auch neu erstellt werden?

Ja, denn ich gehe mal nicht davon aus, dass es vor 2006 erstellt wurde. Alle Zertifikate seitdem sollten als geknackt betrachtet werden.

Quote:Habe das mal versucht, bekomme dabei eine Fehlermeldung:

Code:

error on line -1 of ./monit.cnf
17459:error:02001002:system library:fopen:No such file or directory:bss_file.c:122:fopen('./monit.cnf','rb')

Sieht ganz so aus, als würde die Datei nicht existieren ("No such file or directory") .. vielleicht liegt die nicht in ./ sondern in /etc/monit ?

Gruß
FeG

[fulltilt]

FeG Wrote:Ja, denn ich gehe mal nicht davon aus, dass es vor 2006 erstellt wurde. Alle Zertifikate seitdem sollten als geknackt betrachtet werden.

Dann gibt es noch diese Ordner die mit der Installation erstellt wurden, da liegen auch jede Menge .pem rum
/etc/postfix/ssl/demoCA
/usr/lib/courier/rootcerts

Edit:
Habe /etc/postfix/ssl/demoCA neu erstellt mit /usr/lib/ssl/misc/CA.pl -newca
zu den rootcerts - keine Ahnung was damit passieren soll.

[fulltilt]

Hat jemand eine Ahnung wie ich die rootcerts in /usr/lib/courier/rootcerts neu erstellen lasse oder updaten kann?

Bzw. diese Dateien wurden angelegt bei der courier-ssl Installation, habe da mal auf einer VM getestet mit --purge remove und dann courier-ssl neu installiert. Datum vorher bei den Rootcerts war Feb. 07 und jetzt ist es imer noch Feb 07 - hat sich also nix geändert.
Ich habe auch nichts darüber finden können was mit den .pem in /rootcerts geschehen soll ..
Normal müssten diese doch auch erneuert werden oder?

[Gos77]

Hallo zusammen,

nach Aussage von unserer Security-Support-Firma sind alle generierten Schlüssel betroffen und sollten neu generiert werden.

ssh, apache, postgres, etc.

Zudem ist natürlich auch Ubuntu und entsprechende Derivate betroffen.

Bei Ubuntu musste ich ein:

apt-get update
apt-get dist-upgrade

ausführen, um die aktualisierten Pakete installiert zu bekommen. Sonst werden nämlich openssh-client, openssh-server und libssl (bin mit grad nicht sicher wie die genau hieß ) zurückgehalten. dist-upgrade führt KEIN Upgrade auf eine neue Version der Distribution durch!

Link-Sammlung:
http://wiki.debian.org/SSLkeys - Vorgehensweise zum regenerieren von neuen SSLKeys (Debian, auch für Ubuntu zutreffend)
http://www.heise.de/security/Der-kleine-...l/108001/0 - Wegweiser vom Heise Verlag

Falls ich noch nähere Infos erhalte oder herausfinde, folgen sie demnächst.

Änderungen:

• Linksammlung hinzugefügt
  

[BeNe]

Für alle die noch Keys ändern müssen und eine Authentifizierung ohne Passwort haben (Backupscripts, Nagios usw.), hier ein kleines Shell Script was die Arbeit etwas abnimmt

Code:

#!/bin/sh

echo
echo This script will help you setup ssh public key authentication.

host=dummy

while [ -n "$host" ]; do
echo -n "SSH server: "
read host
if [ -n "$host" ]; then
echo -n "user[$USER]: "
read usr
if [ -z "$usr" ]; then
usr=$USER
fi

echo "Setting up RSA authentication for ${usr}@${host}..."
if [ -f ~/.ssh/id_rsa.pub ]; then
echo "RSA public key OK."
else
ssh-keygen -t rsa -f ~/.ssh/id_rsa -N ""
fi
scp -P2222  ~/.ssh/id_rsa.pub ${usr}@${host}:~/
ssh ${usr}@${host} -p2222 "if [ ! -d ~/.ssh ]; then
mkdir ~/.ssh
fi
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 0600 ~/.ssh/authorized_keys
rm ~/id_rsa.pub"
echo
echo "You should see the following message without being prompted for anything now..."
echo
ssh ${usr}@${host} "echo !!! Congratulations, you are now logged in as ${usr}@${host} !!!"
echo
echo "If you were prompted, public key authentication could not be configured..."

echo
echo "Enter a blank servername when done."
echo
fi
done

echo "End of configuration."

!!! WICHTIG !!!
Der SSH Befehl greift bei mir auf Port "2222" zu.
Bitte entsprechend abändern oder ganz weglassen.

Greez BeNe