Hlavní navigace

SSH

Chyba v libssh umožňuje přihlášení bez autentizace

Čtyři roky stará bezpečnostní chyba (CVE-2018–10933) v implementaci Secure Shellu známé jako libssh umožňuje triviálně obejít postup autentizace a přihlásit se k cizímu serveru. Služba Shodan ukazuje několik tisíc potenciálně zranitelných serverů…

Nová verze OpenSSH 7.8 ukládá privátní klíče v bezpečnějším formátu

Vyšla nová verze populárního nástroje OpenSSH. Vydání 7.8 především opravuje chyby, má však i několik nových vlastností. Změnilo se například výchozí ukládání privátního klíče do souboru. Ve výchozím nastavení budou klíče ukládány v novém formátu,…

24. 8. 2018 14:05

Username enumeration v OpenSSH

V OpenSSH byla před několika dny opravena zranitelnost publikovaná pod CVE-2018–15473 umožnující vzdálenému útočníkovi ověřovat (ne)existenci konkrétních uživatelských účtů. Aktualizovaný balíček je pro Debian dostupný pro verzi sid/unstable, stabilní verze zatím záplatována není.

Hesla SSH klíčů jsou špatně hashovaná, lze je prolomit velmi rychle

Uživatelský SSH klíč představuje důležitý autentizační prvek každého administrátora či vývojáře. I když je chráněn heslem, ve většině případů je možné heslo velmi rychle uhodnout. Jak ho více zabezpečit?

Doba čtení: 5 minut

Windows 10 má svého OpenSSH klienta i server

Microsoft v roce 2015 slíbil podporu SSH ve svém PowerShellu. Svůj slib nyní splnil a Windows 10 Fall Creators Update přináší nativní OpenSSH klient i server, prozatím označené jako beta. Zdá se, že klient zatím podporuje jen ed25519 klíče a ne…

High Performance SSH/SCP: rychlé přenosy souborů bezpečným kanálem

Uživatelé chtějí používat bezpečný a dobře podporovaný kanál pro přenos souborů. Nabízí se protokol SSH, který umí vše potřebné. Bohužel trpí velmi špatným výkonem a přenáší soubory pomalu. Proč to tak je a jak to řešit?

Doba čtení: 6 minut

Jak zrychlit ssh

Na serveru Tecmit vyšel krátký článek, jak zrychlit ssh spojení. První možností je zkusit používat IPv4 místo IPv6, které bývá někdy pomalejší. Jednoduše toho dosáhnete přepínačem  -4. Druhou možností je zrušit používání DNS na straně serveru,…

Vyšlo OpenSSH 7.6 a úplně odstranilo SSH v.1

V úterý vyšlo OpenSSH 7.6. Toto vydání podle očekávání nadobro odstranilo kód pro SSH v.1, který byl již jen v klientovi a navíc se ve výchozím stavu nekompiloval. Navíc byly odstraněny šifry arcfour, Blowfish, CAST a HMAC ripemd160. RSA klíče…

Zkontrolujte nastavení SSH serveru pomocí ssh_scan

Na serveru Tecmint vyšel nedávno návod, jak zkontrolovat nastavení vlastního SSH serveru pomocí nástroje ssh_scan. Tento nástroj je dílem Mozilly a je inspirován zásadami Mozilly pro  OpenSSH. ssh_scan je napsán v Ruby a jde instalovat pomocí gem,…

16. 5. 2017 20:14

Jak zabít neaktivní nebo nečinné SSH sezení

Na serveru 2DayGeek vyšel návod, jak zabít své neaktivní nebo nečinné SSH sezení. Netrpělivým prozradím, že jde o použití příkazů w, pstree -p a  kill. Hloubavějším pak asi dojde, že bude lépe zkusit nejprve prostým kill zabít proces shellu…

Vyšlo OpenSSH 7.5, příští vydání odstraní SSH v.1

Včera vyšlo OpenSSH 7.5. Jde o opravné vydání, opravena byla zranitelnost sftp klienta v Cygwin a problém v CBC „vycpávání“ (padding). CBC je stejně už nějakou dobu ve výchozím nastavení vypnut jak pro klienty tak pro server. Navíc v příštím…

21. 3. 2017 10:43

Raspbian deaktivoval SSH, Raspberry Pi bylo snadnou kořistí botnetů

Raspbian, oficiální distribuce pro Raspberry Pi, před pár dny vyšla ve verzi 4.4. Teď vývojáři vysvětlují, co se vlastně změnilo – ve výchozím stavu už není aktivní protokol SSH (týká se pouze varianty Pixel). Důvodem jsou rostoucí útoky na podobná…

Stejné příkazy na více serverech pomocí gsh

Na serveru LinuxOS.pro vyšel návod, jak jednoduše vykonat stejné příkazy na více serverech pomocí gsh. Nástroj gsh je napsán v Perlu a používá seznam serverů v  /etc/ghosts. Stahovat můžete z oficiální stránky nebo z GitHubu. Nedávno se tu objevila podobně zaměřená otázka ve fóru.

Jak zvýšit zabezpečení SSH pomocí Fail2Ban a Tinyhoneypot

Na serveru HowtoForge vyšel návod na zabezpečení SSH pomocí Fail2Ban a Tinyhoneypot pro Debian. Návod bude s menšími úpravami fungovat i v jiných distribucích. Ani Fail2Ban ani Tinyhoneypot neumí používat IPv6, takže je návod pouze pro IPv4…

OpenSSH 7.2: SHA-2 a chytřejší ssh-agent

Po několika rychle vydaných verzích OpenSSH, opravujících několik závažných bezpečnostních chyb, přichází opět verze s novými funkcemi.

Doba čtení: 4 minuty

OpenSSH 7.2 přináší podpisy RSA s SHA-256/512

Projekt OpenBSD dnes oznámil novou verzi OpenSSH 7.2. Jedná se primárně o opravné vydání, které doplňuje záplaty na chyby objevené od vydání verze 7.1p2. Nabízí ale také několik novinek: mezi nejdůležitější patří podpora algoritmů SHA-256 a…

29. 2. 2016 17:50

OpenSSH obsahuje chybu umožňující ukrást klientské klíče

V OpenSSH byla objevena vážná bezpečnostní chyba, která umožňuje serveru vylákat z klienta jeho privátní šifrovací klíče. S jejich pomocí se pak za klienta dokáže vydávat a přihlásit se tak k dalším zdrojům. Pikantní přitom je, že chyba zneužívá nedokumentovanou funkci roaming, kterou servery neumí.

Doba čtení: 2 minuty

Jak použít dvoufázovou autentizaci na ssh

Na serveru TechRepublic vyšel návod, jak nasadit dvoufázovou autentizaci s Google Authenticatorem k zabezpečení ssh na linuxovém serveru. Návod vyžaduje kompilaci ze zdrojového kódu (make, sudo make install), je tedy určen mírně pokročilým…

Cowrie SSH honeypot je nástupcem Kippo

Cowrie je středně interaktivním SSH honeypotem vycházejícím ze známého projeku Kippo, který bohužel již není v současnosti příliš aktivně vyvíjen. Oproti Kippo přináší Cowrie například možnost scp/sftp uploadu, podporu SSH exec a logování pokusů…

8. 9. 2015 15:29

(R)evoluce v OpenSSH 7.0 aneb velké zastarávání

Minulé úterý vyšla nová major verze, v pořadí již sedmá, otevřené implementace protokolu SSH 2.0 s názvem OpenSSH. Přináší několik dlouho odkládaných změn, které proaktivně podporují bezpečnost a opravují významné bezpečnostní chyby, se kterými se poslední dobou roztrhl pytel. Které to jsou?

Doba čtení: 4 minuty

Mosh verze 1.2.5 přidává podporu IPv6

Před týdnem vyšla nová verze 1.2.5 nástroje mosh. Ten slouží ke vzdálenému připojení terminálu, podobně jako SSH, nabízí však větší uživatelský komfort, zejména na pomalých a/nebo ztrátových linkách. Čtěte: Mosh: trochu jiné SSH Nová verze…

Útoky na SSH: je ještě bezpečné?

V posledních měsících je zvykem bezpečnostní chyby ohlašovat s velkou pompou, vytvářet pro ně vlastní web a v ideálním případě i logo. Uživatelé jsou takto průběžně masírovaní tím, kolik chyb je v protokolech nebo jejich implementacích. Otázkou ale je, zda a jak moc je stále bezpečné třeba SSH.

Doba čtení: 6 minut

V oběhu je infikovaná verze PuTTY

Společnost Symantec upozornila na to, že na internetu se intenzívně distribuuje trojanem infikovaná verze SSH klienta PuTTY. Pokud uživatel využije tuto binárku pro připojení na svůj server, obsažený trojan odešle použité přihlašovací údaje na…

Generátor náhodných čísel byl v FreeBSD měsíce rozbitý

Generátor náhodných čísel (RNG, Random Number Generator) obsažený v kernelu operačního systému FreeBSD obsahoval čtyři měsíce chybu, díky níž bylo možné predikovat výstupní hodnoty. Tu objevil John-Mark Gurney, který ji následně opravil. Gurney…

Knihovna OpenSSL projde auditem

Pod křídly Linux Foundation vznikla Core Infrastructure Initiative (CII), která má za cíl dohlížet zejména na bezpečnost nejrozšířenějších internetových open-source projektů. Iniciativa vznikla v reakci na kritickou chybu v OpenSSL, tzv. Heartbleed…

Eset: útočník má pod kontrolou 10 tisíc linuxových serverů

Bezpečností společnost Eset informuje o svých zjištěních, podle kterých má útočník či skupina útočníků pod kontrolou zhruba deset tisíc linuxových serverů. Během posledních dvou let to údajně bylo až 25 tisíc. V České republice by se momentálně…

Po dvou letech vyšla libssh 0.6.0

Po více než dvou letech vývoje byla uvolněna nová verze knihovny libssh 0.6.0. Novinek je poměrně hodně: podpora pro ECDSA (Elliptic Curve DSA), ECDH (Elliptic Curve Diffie Hellman), nová API, nové funkce, Curve25519 pro výměnu klíčů v ECDH a také vylepšená dokumentace.

Whilelist/blacklist požadavků u sftp protokolu v OpenSSH

Damien Miller commitnul do OpenSSH novou vlastnost pro sftp-server, která umožňuje určité požadavky (requests) sftp protokolu dát do whitelistu, případně blacklistu. To například umožňuje, že uživatel může přes sftp nahrát na server soubor, ale již…

SSH terminál ve webovém prohlížeči

Trendem dnešní doby je mít vše ve webovém prohlížeči. Kancelářské aplikace, mapy, linux a tak se není čemu divit, že i terminál SSH lze provozovat přímo v prohlížeči. Na serveru Xmodulo.com vyšel návod na jeho instalaci pro distribuce Debian,…

Nastavení serveru pro přístup pomocí jednorázových hesel s OTPW

Na serveru Linuxjournal.com vyšel článek představující postup konfigurace vašeho serveru na přihlašování se pomocí jednorázových hesel. Postup je popsán pro distribuci Debian a její deriváty, ale lze poměrně lehce využít na libovolné distribuci…