OpenSSH přinese rotaci klíčů a snadný přechod na Ed25519
Sdílet
Vývojář OpenSSH Damien Miller na svém blogu zveřejnil článek, ve kterém popisuje novinku připravované verze 6.8. Rozšíření nazvané hostkeys@openssh.com umožní klientovi poslat automaticky všechny veřejné klíče serveru. Klient zase bude mít možnost automaticky rotovat klíče na serveru v ~/.ssh/known_hosts a nahradit staré novými.
Rozšíření protokolu je velmi jednoduché a mělo by umožnit především hladký přechod z DSA klíčů na Ed25519. Umožňuje také podporu záložních klíčů, které jsou uložené offline a mohou snadno nahradit hlavní klíče, pokud dojde k jejich kompromitaci.
(Zdroj: Slashdot)
-
hrabe lopata (neregistrovaný) ---.net.upcbroadband.cz
Nevite nekdo, zda prochazi openssh nejakym rozsirenym autidem jako ted openssl (aspon se o auditu openssl mluvi :) )?
-
j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----
Bych rek ze pomerne casto, spis trvale ... kolem 50 000 pokusu o login denne na par strojich ... ;D
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
Tohle snad nikdo normální už nevystavuje... leda pro přesně stanovené IPny a přes VPN. Jinak mě fascinuje, jak pořád Číňani naříkaj nad narůstající cenzurou a blokováním šifrovaných připojení, ale jak zpřístupní člověk SSH, tak se na něj vrhnou hned tisíce zájemců.
-
j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----
To mas uplne jedno, parkrat sem udelal pokus, presun na jinej port pomuze tak na tejden az 14 dnu. Pozadavky na ty stroje jsou pak jasne dany - moznost se pripojit odkudkoli. Nevidim zasadni rozdil mezi sshckem a spustenym apachem.
Navic nestandardni port === velmi casto je v ceste firemni firewall.
Dtto samo rdp, kde bych se teda osobne bal o dost vic (navic staci i 1koneksna/s a 100% to sezere 100% CPU).
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
O přesouvání portů nebyla řeč. Prostě nevystavovat vůbec. Pokud je potřeba se připojovat odkudoliv, tak OpenVPN na TCP/443.
-
Jenda (neregistrovaný) ---.net.upcbroadband.cz
Není jedno jestli útočník bude crackovat openssh nebo openvpn?
-
j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----
To vidim uplne stejne ... jen s tim, ze to sshcko bude kvuli pouzivanosti o nekolik radu vic otestovany.
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
Útočníky evidentně OpenVPN narozdíl od SSH nezajímá.
-
Jenda (neregistrovaný) ---.net.upcbroadband.cz
„Útočníky“ ve smyslu „robot zkoušející heslo password a 123456“. To ať si klidně zkouší, já mám hesla zakázaná (a pokud ti vadí ten traffic, použij nějaký jiný port).
A jiné než slovníkové útoky? No flame, ale kvalita openssh mi přijde vyšší než kvalita openvpn :). Když už se bránit proti tomu, tak radši port knocking.
-
Jenda (neregistrovaný) ---.net.upcbroadband.cz
Musím potvrdit. Ještě zkouší well-known jako třeba 2222, ale mnohem méně; ostatní vůbec.
-
vzduchova mezera (neregistrovaný) ---.net.upcbroadband.cz
Tyhle nazory rychlokvasnejch guru na OpenSSH me bavi. OpenSSH mam otevreny uz urcite vic nez 10 let na dobre desitce stroju a zadny problem. Nevim, proc bych mel verit nejakemu openvpn, kdyz ani neni v me distribuci.
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
To máš blbý, zkus lepší distribuci. Nebo se dál přehrabuj v horách logů, no.
-
vzduchova mezera (neregistrovaný) ---.net.upcbroadband.cz
Ty si to neumis nastavit, abys nemel hory logu?
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
Tak jistě, vůbec nejlepší bude logování úplně vypnout, pak tě to nemusí vzrušovat. Ta vzduchová mezera se u tebe nachází mezi ušíma?
-
Jenda (neregistrovaný) ---.net.upcbroadband.cz
Proč logovat "Denied: gfw.zh.cn zkusil heslo password; sshd má vypnuté přihlašování heslem"?
-
Jakub L. (neregistrovaný) 31.47.103.---
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
Ne, fail2ban vážně nechci. Je to rozbité by design. Nastav si v SSH LogLevel VERBOSE (sakra, proč mi tohle nefunguje a nic nevidím v logu) a uvidíš proč.
-
vzduchova mezera (neregistrovaný) ---.net.upcbroadband.cz
Dej si SSH na nejaky vysoky port a prestan se tady zesmesnovat. Nikdo ti to tvoje OpenVPN nebere.
-
Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----
Něco k věci by nebylo, vzduchová bublino?
-
vzduchova mezera (neregistrovaný) ---.net.upcbroadband.cz
Neplkej nymande, Ja jsem o ssh nenapsal "Tohle snad nikdo normální už nevystavuje..."
Tak jakepak "k veci" :)
Autor zprávičky
Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.
-
- C++ Developer | NEkorporát
- PostgreSQL vývojář
- Android Developer |Nekorporát v centru Prahy
- Development Team Lead pro ERP systém
- Delivery Manager neboli Agile Master
- Embedded Software Engineer / Vývojář Programátor v C
-
- Jak úspěšně připravit vaši první online kampaň
- Plánování projektu II: rizika a komunikace
- Kritické myšlení 5 - Teorie her a jak okolnosti ovlivňují rozhodování
- Trénink vyjednávání prakticky I.
- Google Disk - mějte svá data pod kontrolou
- Kontingenční tabulky v Excel
-
- Network Security Analyst
- Oracle developer / vývojář
- Programátor JAVA
- Development Team Lead pro ERP systém
- Delivery Manager neboli Agile Master
- IT Technik junior - atnivirový SW
-
- Plánování projektu II: rizika a komunikace
- Komunikace s lidmi v souladu s fungováním mozku
- Seznamy na SharePointu 1: vytvářejte seznamy a sloupce
- Psaní e-mailů snadněji a rychleji
- Kritické myšlení 5 - Teorie her a jak okolnosti ovlivňují rozhodování
- Kontingenční tabulky v Excel
Dále u nás najdete
Internet Info Root.cz (www.root.cz)
Informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2019 Internet Info, s.r.o. Všechna práva vyhrazena.