OpenSSH přinese rotaci klíčů a snadný přechod na Ed25519

Líbí se vám zprávička?
Podpořte redakci

Petr Krčmář 2. 2. 2015

Vývojář OpenSSH Damien Miller na svém blogu zveřejnil článek, ve kterém popisuje novinku připravované verze 6.8. Rozšíření nazvané hostkeys@openssh.com umožní klientovi poslat automaticky všechny veřejné klíče serveru. Klient zase bude mít možnost automaticky rotovat klíče na serveru v ~/.ssh/known_hosts a nahradit staré novými.

Rozšíření protokolu je velmi jednoduché a mělo by umožnit především hladký přechod z DSA klíčů na Ed25519. Umožňuje také podporu záložních klíčů, které jsou uložené offline a mohou snadno nahradit hlavní klíče, pokud dojde k jejich kompromitaci.

(Zdroj: Slashdot)

Našli jste v článku chybu?

2. 2. 2015 15:23

hrabe lopata (neregistrovaný) ---.net.upcbroadband.cz

Nevite nekdo, zda prochazi openssh nejakym rozsirenym autidem jako ted openssl (aspon se o auditu openssl mluvi :) )?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 15:23

hrabe lopata (neregistrovaný) ---.net.upcbroadband.cz

auditem samozrejme :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 17:01

j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

Bych rek ze pomerne casto, spis trvale ... kolem 50 000 pokusu o login denne na par strojich ... ;D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 18:20

Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

Tohle snad nikdo normální už nevystavuje... leda pro přesně stanovené IPny a přes VPN. Jinak mě fascinuje, jak pořád Číňani naříkaj nad narůstající cenzurou a blokováním šifrovaných připojení, ale jak zpřístupní člověk SSH, tak se na něj vrhnou hned tisíce zájemců.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 19:26

j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

To mas uplne jedno, parkrat sem udelal pokus, presun na jinej port pomuze tak na tejden az 14 dnu. Pozadavky na ty stroje jsou pak jasne dany - moznost se pripojit odkudkoli. Nevidim zasadni rozdil mezi sshckem a spustenym apachem.

Navic nestandardni port === velmi casto je v ceste firemni firewall.

Dtto samo rdp, kde bych se teda osobne bal o dost vic (navic staci i 1koneksna/s a 100% to sezere 100% CPU).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 21:22

Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

O přesouvání portů nebyla řeč. Prostě nevystavovat vůbec. Pokud je potřeba se připojovat odkudoliv, tak OpenVPN na TCP/443.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 22:03

Jenda (neregistrovaný) ---.net.upcbroadband.cz

Není jedno jestli útočník bude crackovat openssh nebo openvpn?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 22:08

j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

To vidim uplne stejne ... jen s tim, ze to sshcko bude kvuli pouzivanosti o nekolik radu vic otestovany.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 22:29

Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

Útočníky evidentně OpenVPN narozdíl od SSH nezajímá.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 1:11

Jenda (neregistrovaný) ---.net.upcbroadband.cz

„Útočníky“ ve smyslu „robot zkoušející heslo password a 123456“. To ať si klidně zkouší, já mám hesla zakázaná (a pokud ti vadí ten traffic, použij nějaký jiný port).

A jiné než slovníkové útoky? No flame, ale kvalita openssh mi přijde vyšší než kvalita openvpn :). Když už se bránit proti tomu, tak radši port knocking.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 22:34

Jarda_P 24

Mam ssh na jinem portu uz nekolik mesicu a furt kde nic, tu nic.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 1:08

Jenda (neregistrovaný) ---.net.upcbroadband.cz

Musím potvrdit. Ještě zkouší well-known jako třeba 2222, ale mnohem méně; ostatní vůbec.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 23:07

vzduchova mezera (neregistrovaný) ---.net.upcbroadband.cz

Tyhle nazory rychlokvasnejch guru na OpenSSH me bavi. OpenSSH mam otevreny uz urcite vic nez 10 let na dobre desitce stroju a zadny problem. Nevim, proc bych mel verit nejakemu openvpn, kdyz ani neni v me distribuci.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 23:44

Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

To máš blbý, zkus lepší distribuci. Nebo se dál přehrabuj v horách logů, no.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 0:52

vzduchova mezera (neregistrovaný) ---.net.upcbroadband.cz

Ty si to neumis nastavit, abys nemel hory logu?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 0:55

Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

Tak jistě, vůbec nejlepší bude logování úplně vypnout, pak tě to nemusí vzrušovat. Ta vzduchová mezera se u tebe nachází mezi ušíma?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 1:13

Jenda (neregistrovaný) ---.net.upcbroadband.cz

Proč logovat "Denied: gfw.zh.cn zkusil heslo password; sshd má vypnuté přihlašování heslem"?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 7:53

Jakub L. (neregistrovaný) 31.47.103.---

Seznamte se:

http://sourceforge.net/projects/logwatch/
http://www.fail2ban.org/wiki/index.php/Main_Page
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 8:30

Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

Ne, fail2ban vážně nechci. Je to rozbité by design. Nastav si v SSH LogLevel VERBOSE (sakra, proč mi tohle nefunguje a nic nevidím v logu) a uvidíš proč.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 23:18

vzduchova mezera (neregistrovaný) ---.net.upcbroadband.cz

Dej si SSH na nejaky vysoky port a prestan se tady zesmesnovat. Nikdo ti to tvoje OpenVPN nebere.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 2. 2015 19:34

Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

Něco k věci by nebylo, vzduchová bublino?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2015 15:41

vzduchova mezera (neregistrovaný) ---.net.upcbroadband.cz

Neplkej nymande, Ja jsem o ssh nenapsal "Tohle snad nikdo normální už nevystavuje..."

Tak jakepak "k veci" :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 9:03

Jarda_P 24

Radsi denyhosts. To nezasira iptables milionem pravidel, synchronizace s databazi utocicich ip take neni spatna.
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem