OpenSSH přinese rotaci klíčů a snadný přechod na Ed25519

2. 2. 2015

Vývojář OpenSSH Damien Miller na svém blogu zveřejnil článek, ve kterém popisuje novinku připravované verze 6.8. Rozšíření nazvané hostkeys@openssh.com umožní klientovi poslat automaticky všechny veřejné klíče serveru. Klient zase bude mít možnost automaticky rotovat klíče na serveru v ~/.ssh/known_hosts a nahradit staré novými.

Rozšíření protokolu je velmi jednoduché a mělo by umožnit především hladký přechod z DSA klíčů na Ed25519. Umožňuje také podporu záložních klíčů, které jsou uložené offline a mohou snadno nahradit hlavní klíče, pokud dojde k jejich kompromitaci.

(Zdroj: Slashdot)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

2. 2. 2015 15:23

hrabe lopata (neregistrovaný)

Nevite nekdo, zda prochazi openssh nejakym rozsirenym autidem jako ted openssl (aspon se o auditu openssl mluvi :) )?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 15:23

hrabe lopata (neregistrovaný)

auditem samozrejme :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 17:01

j (neregistrovaný)

Bych rek ze pomerne casto, spis trvale ... kolem 50 000 pokusu o login denne na par strojich ... ;D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 18:20

Lol Phirae (neregistrovaný)

Tohle snad nikdo normální už nevystavuje... leda pro přesně stanovené IPny a přes VPN. Jinak mě fascinuje, jak pořád Číňani naříkaj nad narůstající cenzurou a blokováním šifrovaných připojení, ale jak zpřístupní člověk SSH, tak se na něj vrhnou hned tisíce zájemců.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 19:26

j (neregistrovaný)

To mas uplne jedno, parkrat sem udelal pokus, presun na jinej port pomuze tak na tejden az 14 dnu. Pozadavky na ty stroje jsou pak jasne dany - moznost se pripojit odkudkoli. Nevidim zasadni rozdil mezi sshckem a spustenym apachem.

Navic nestandardni port === velmi casto je v ceste firemni firewall.

Dtto samo rdp, kde bych se teda osobne bal o dost vic (navic staci i 1koneksna/s a 100% to sezere 100% CPU).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 21:22

Lol Phirae (neregistrovaný)

O přesouvání portů nebyla řeč. Prostě nevystavovat vůbec. Pokud je potřeba se připojovat odkudoliv, tak OpenVPN na TCP/443.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 22:03

Jenda (neregistrovaný)

Není jedno jestli útočník bude crackovat openssh nebo openvpn?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 22:08

j (neregistrovaný)

To vidim uplne stejne ... jen s tim, ze to sshcko bude kvuli pouzivanosti o nekolik radu vic otestovany.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 22:29

Lol Phirae (neregistrovaný)

Útočníky evidentně OpenVPN narozdíl od SSH nezajímá.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 1:11

Jenda (neregistrovaný)

„Útočníky“ ve smyslu „robot zkoušející heslo password a 123456“. To ať si klidně zkouší, já mám hesla zakázaná (a pokud ti vadí ten traffic, použij nějaký jiný port).

A jiné než slovníkové útoky? No flame, ale kvalita openssh mi přijde vyšší než kvalita openvpn :). Když už se bránit proti tomu, tak radši port knocking.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 22:34

Jarda_P

Mam ssh na jinem portu uz nekolik mesicu a furt kde nic, tu nic.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 1:08

Jenda (neregistrovaný)

Musím potvrdit. Ještě zkouší well-known jako třeba 2222, ale mnohem méně; ostatní vůbec.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 23:07

vzduchova mezera (neregistrovaný)

Tyhle nazory rychlokvasnejch guru na OpenSSH me bavi. OpenSSH mam otevreny uz urcite vic nez 10 let na dobre desitce stroju a zadny problem. Nevim, proc bych mel verit nejakemu openvpn, kdyz ani neni v me distribuci.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 2. 2015 23:44

Lol Phirae (neregistrovaný)

To máš blbý, zkus lepší distribuci. Nebo se dál přehrabuj v horách logů, no.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 0:52

vzduchova mezera (neregistrovaný)

Ty si to neumis nastavit, abys nemel hory logu?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 0:55

Lol Phirae (neregistrovaný)

Tak jistě, vůbec nejlepší bude logování úplně vypnout, pak tě to nemusí vzrušovat. Ta vzduchová mezera se u tebe nachází mezi ušíma?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 1:13

Jenda (neregistrovaný)

Proč logovat "Denied: gfw.zh.cn zkusil heslo password; sshd má vypnuté přihlašování heslem"?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 7:53

Jakub L. (neregistrovaný)

Seznamte se:

http://sourceforge.net/projects/logwatch/
http://www.fail2ban.org/wiki/index.php/Main_Page
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 8:30

Lol Phirae (neregistrovaný)

Ne, fail2ban vážně nechci. Je to rozbité by design. Nastav si v SSH LogLevel VERBOSE (sakra, proč mi tohle nefunguje a nic nevidím v logu) a uvidíš proč.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 23:18

vzduchova mezera (neregistrovaný)

Dej si SSH na nejaky vysoky port a prestan se tady zesmesnovat. Nikdo ti to tvoje OpenVPN nebere.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 2. 2015 19:34

Lol Phirae (neregistrovaný)

Něco k věci by nebylo, vzduchová bublino?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
5. 2. 2015 15:41

vzduchova mezera (neregistrovaný)

Neplkej nymande, Ja jsem o ssh nenapsal "Tohle snad nikdo normální už nevystavuje..."

Tak jakepak "k veci" :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
3. 2. 2015 9:03

Jarda_P

Radsi denyhosts. To nezasira iptables milionem pravidel, synchronizace s databazi utocicich ip take neni spatna.
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Líbí

Nelíbí

Petr Krčmář

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.

Témata:

OpenSSH

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář

Témata:

OpenSSH přinese rotaci klíčů a snadný přechod na Ed25519

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář

Témata:

Dále u nás najdete

Průjmů z masa je letos víc než jindy, nakazit se lze i z melounů

Vesna a další, kdo přežili volný pád z několika kilometrů

Motání hlavy může být způsobeno problémy s krčními tepnami

Češi stále nejvíc milují kuřecí řízek a smažák

Češi spoluvyvíjí technologii, která může změnit mobilní sítě

Vypněte si sledování v novém Firefoxu

Výrobce koupelnového vybavení Laufen čeká oživení poptávky

Tesco na jedné straně plasty šetří, na druhé jimi ale plýtvá

Zmatek u důchodové reformy, stejný termín pro dvě opatření

Proč vystavujeme zápočtový list a proč ho vyžadujeme?

Kolik a čeho mají vypít při sportu v horkém létě

Chráníme totožnost podatele podnětu, tvrdil úřad

Pořad 168 hodin v České televizi končí

Musk: Humanoidní roboty začne Tesla používat už příští rok

CrowdStrike: slabá představivost a problém lidského faktoru

Google už nechce rušit cookies třetích stran v Chromu

Revmatická horečka už nepatří mezi běžná onemocnění

Praktické tipy pro fyzické osoby, jak ušetřit na daních

S haluxy můžete mít boty na pojišťovnu

Propagační leták v Canvě zvládnete za pár minut