Wichtig: OpenSSL Schlüssel in Debian unsicher

[fulltilt]

Das betrifft also auch die SSH Keys ...

Hier der Link zum Thema:
http://www.rootforum.de/forum/viewtopic....23&t=48872

Q: How long does it take a crack a SSH user account using these keys?
A: This depends on the speed of the network and the configuration of the SSH server. It should be possible to try all 32,767 keys of both DSA-1024 and RSA-2048 within a couple hours ......

[fulltilt]

Hat schon jemand die Prozedur durchgeführt und gibt es ein paar Infos dazu wie man das ganze möglichst fehlerfrei macht?
Könnte mir vorstellen, das man sich dabei schnell aus dem System aussperren kann

Wie ist es mit Keys für pop3-ssl ... können die nach einem Update von open ssl noch verwendet werden ...

[Zothos]

Es gibt schon einen exploit dafür...
Man sollte sich also beeilen ^^

[fulltilt]

Vorbereiten zum Ersetzen von openssl 0.9.8c-4etch1 (durch .../openssl_0.9.8c-4etch3_i386.deb) ...
Entpacke Ersatz für openssl ...
Richte openssl ein (0.9.8c-4etch3) ...

das müsste ja dann die richtige sein ...

schützt es eigentlich wenn der ssh Port geändert ist?

Habe die Schritte hier mal festgehalten.
Hoffe das so alles richtig ist - KEINE GEWÄHR
Wenn möglich vorher auf Test Maschine probieren !!!

Am besten 2 Shells aufmachen :-)

Code:

2x
apt-get update
apt-get update

apt-get install openssl

mkdir -p /etc/ssh/backup
mv /etc/ssh/*host* /etc/ssh/backup/
ssh-keygen -b 1024 -t dsa -f /etc/ssh/ssh_host_dsa_key -N ''
ssh-keygen -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key -N ''
chmod 0600 /etc/ssh/ssh_host_*
chmod 0644 /etc/ssh/ssh_host_*pub
/etc/init.d/ssh restart

Auf der Client Seite (wenn Linux) >
/home/****/.ssh/known_hosts muss bearbeitet werden:

Neue Shell > Beim einloggen erscheint:

Code:

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
Offending key in /home/****/.ssh/known_hosts:15

ssh-keygen -R $HOST
oder diesen Eintrag mit einem Editor entfernen.
(15 ist hierbei zu ersetzen mit dem angezeigten Host)

Dann erneut einloggen:
Are you sure you want to continue connecting (yes/no)? yes

Damit ist nur der SSH Key erneuert worden.
Alle anderen Keys für pop3-ssl, www, scp (rsync) sind ebenfalls zu ersetzen.

Ach ja - Userpasswort und Root Passwort ändern.

Vieleicht kann ja jemand das ganze hier noch verbessern oder erweitern.

[mr.x]

Hi,

Quote:schützt es eigentlich wenn der ssh Port geändert ist?

Jein. Scriptkiddies, die nur einen Scan auf Port 22 machen schreckt das ab. Aber einen "Profi", der in den Server will, schreckt eine Portänderung nicht ab. Er führt vorher einen Portscan des Servers durch.

Mr.X

[FeG]

Hi,

kleiner Beitrag noch meinerseits was die SSL-Zertifikate betrifft (z.B. für Apache, Postfix, ProFTPD, ...).

Diese müssen ebenfalls alle komplett neu generiert werden. Wer das anhand meines HowTos gemacht hat, muss auch die eigene CA neu erstellen.
Hierzu genügt es, die gesamte Prozedur wie im HowTo beschrieben nochmals durchzuführen und dabei alle bisherigen Zertifikate zu überschreiben.

Denkt aber daran, diejenigen, die sich auf die Zertifikate eures Servers verlassen, zu informieren!

Und dann "viel Spaß" (hab's schon hinter mir )

Gruß
FeG

[fulltilt]

Zothos Wrote:Es gibt schon einen exploit dafür...
Man sollte sich also beeilen ^^

Worauf sucht der Exploit:
nach der OpenSSL Version oder nach den alten Keys?

[rbtux]

Vermutlich keys...

[fulltilt]

rbtux Wrote:Vermutlich keys...

ist also besser alle keys zu ersetzen :-)

[fulltilt]

Hatte Monit mit einem SSL Zertifikat abgesichert wie im HowTo beschrieben.
Sollte dieses auch neu erstellt werden?

Habe das mal versucht, bekomme dabei eine Fehlermeldung:

Code:

openssl req -new -x509 -days 365 -nodes -config ./monit.cnf -out /etc/monit/monit.pem -keyout /etc/monit/monit.pem

Code:

error on line -1 of ./monit.cnf
17459:error:02001002:system library:fopen:No such file or directory:bss_file.c:122:fopen('./monit.cnf','rb')
17459:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:125:
17459:error:0E078072:configuration file routines:DEF_LOAD:no such file:conf_def.c:197: