Current time: 11-16-2024, 07:10 AM Hello There, Guest! (LoginRegister)


Post Reply 
Wichtig: OpenSSL Schlüssel in Debian unsicher
Author Message
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #1
Wichtig: OpenSSL Schlüssel in Debian unsicher
Das betrifft also auch die SSH Keys ...

Hier der Link zum Thema:
http://www.rootforum.de/forum/viewtopic....23&t=48872

Q: How long does it take a crack a SSH user account using these keys?
A: This depends on the speed of the network and the configuration of the SSH server. It should be possible to try all 32,767 keys of both DSA-1024 and RSA-2048 within a couple hours ......
(This post was last modified: 05-16-2008 01:34 AM by fulltilt.)
05-15-2008 02:48 AM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #2
RE: OpenSSL-Schlüssel in Debian/Ubuntu sind unsicher
Hat schon jemand die Prozedur durchgeführt und gibt es ein paar Infos dazu wie man das ganze möglichst fehlerfrei macht?
Könnte mir vorstellen, das man sich dabei schnell aus dem System aussperren kann Rolleyes

Wie ist es mit Keys für pop3-ssl ... können die nach einem Update von open ssl noch verwendet werden ...
05-16-2008 12:06 AM
Find all posts by this user Quote this message in a reply
Zothos Offline
Release Manager
*****
Dev Team

Posts: 1,262
Joined: Feb 2007
Reputation: 10
Post: #3
RE: OpenSSL-Schlüssel in Debian/Ubuntu sind unsicher
Es gibt schon einen exploit dafür...
Man sollte sich also beeilen ^^
05-16-2008 12:48 AM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #4
RE: OpenSSL-Schlüssel in Debian/Ubuntu sind unsicher
Vorbereiten zum Ersetzen von openssl 0.9.8c-4etch1 (durch .../openssl_0.9.8c-4etch3_i386.deb) ...
Entpacke Ersatz für openssl ...
Richte openssl ein (0.9.8c-4etch3) ...

das müsste ja dann die richtige sein ...

schützt es eigentlich wenn der ssh Port geändert ist?

Habe die Schritte hier mal festgehalten.
Hoffe das so alles richtig ist - KEINE GEWÄHR
Wenn möglich vorher auf Test Maschine probieren !!!

Am besten 2 Shells aufmachen :-)

Code:
2x
apt-get update
apt-get update

apt-get install openssl

mkdir -p /etc/ssh/backup
mv /etc/ssh/*host* /etc/ssh/backup/
ssh-keygen -b 1024 -t dsa -f /etc/ssh/ssh_host_dsa_key -N ''
ssh-keygen -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key -N ''
chmod 0600 /etc/ssh/ssh_host_*
chmod 0644 /etc/ssh/ssh_host_*pub
/etc/init.d/ssh restart
Auf der Client Seite (wenn Linux) >
/home/****/.ssh/known_hosts muss bearbeitet werden:

Neue Shell > Beim einloggen erscheint:
Code:
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
Offending key in /home/****/.ssh/known_hosts:15

ssh-keygen -R $HOST
oder diesen Eintrag mit einem Editor entfernen.
(15 ist hierbei zu ersetzen mit dem angezeigten Host)

Dann erneut einloggen:
Are you sure you want to continue connecting (yes/no)? yes

Damit ist nur der SSH Key erneuert worden.
Alle anderen Keys für pop3-ssl, www, scp (rsync) sind ebenfalls zu ersetzen.

Ach ja - Userpasswort und Root Passwort ändern.

Vieleicht kann ja jemand das ganze hier noch verbessern oder erweitern.
(This post was last modified: 05-16-2008 02:14 AM by fulltilt.)
05-16-2008 12:55 AM
Find all posts by this user Quote this message in a reply
mr.x Offline
Development Team
*****
Dev Team

Posts: 232
Joined: Nov 2006
Reputation: 3
Post: #5
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
Hi,


Quote:schützt es eigentlich wenn der ssh Port geändert ist?

Jein. Scriptkiddies, die nur einen Scan auf Port 22 machen schreckt das ab. Aber einen "Profi", der in den Server will, schreckt eine Portänderung nicht ab. Er führt vorher einen Portscan des Servers durch.

Mr.X
05-16-2008 02:10 AM
Find all posts by this user Quote this message in a reply
FeG Offline
Banned

Posts: 222
Joined: Aug 2007
Post: #6
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
Hi,

kleiner Beitrag noch meinerseits was die SSL-Zertifikate betrifft (z.B. für Apache, Postfix, ProFTPD, ...).

Diese müssen ebenfalls alle komplett neu generiert werden. Wer das anhand meines HowTos gemacht hat, muss auch die eigene CA neu erstellen.
Hierzu genügt es, die gesamte Prozedur wie im HowTo beschrieben nochmals durchzuführen und dabei alle bisherigen Zertifikate zu überschreiben.

Denkt aber daran, diejenigen, die sich auf die Zertifikate eures Servers verlassen, zu informieren!

Und dann "viel Spaß" (hab's schon hinter mir Wink )

Gruß
FeG
05-16-2008 03:32 PM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #7
RE: OpenSSL-Schlüssel in Debian/Ubuntu sind unsicher
Zothos Wrote:Es gibt schon einen exploit dafür...
Man sollte sich also beeilen ^^

Worauf sucht der Exploit:
nach der OpenSSL Version oder nach den alten Keys?
05-17-2008 12:58 AM
Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #8
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
Vermutlich keys...
05-17-2008 01:35 AM
Visit this user's website Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #9
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
rbtux Wrote:Vermutlich keys...

ist also besser alle keys zu ersetzen :-)
(This post was last modified: 05-18-2008 09:36 PM by fulltilt.)
05-17-2008 02:29 AM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #10
RE: Wichtig: OpenSSL Schlüssel in Debian unsicher
Hatte Monit mit einem SSL Zertifikat abgesichert wie im HowTo beschrieben.
Sollte dieses auch neu erstellt werden?

Habe das mal versucht, bekomme dabei eine Fehlermeldung:
Code:
openssl req -new -x509 -days 365 -nodes -config ./monit.cnf -out /etc/monit/monit.pem -keyout /etc/monit/monit.pem
Code:
error on line -1 of ./monit.cnf
17459:error:02001002:system library:fopen:No such file or directory:bss_file.c:122:fopen('./monit.cnf','rb')
17459:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:125:
17459:error:0E078072:configuration file routines:DEF_LOAD:no such file:conf_def.c:197:
05-18-2008 09:46 PM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)