Hlavní navigace

Vyšlo OpenSSH 8.2 s podporou FIDO/U2F

Sdílet

Jan Fikar 14. 2. 2020
OpenSSH

Dnes vyšlo OpenSSH 8.2 s podporou FIDO a U2F hardwarových klíčenek. K tomu je potřeba pomocí ssh-keygen vygenerovat nové veřejné klíče ve formátu ecdsa-sk nebo  ed25519-sk.

Dále bylo SHA-1 označeno jako nebezpečné a tím pádem se přestává věřit podpisům klíčů ssh-rsa , lépe je podepisovat pomocí rsa-sha2-256/512 (v OpenSSH od verze 7.2), ssh-ed25519 (od verze 6.5) nebo ecdsa-sha2-nistp256/384/521 (od verze 5.7).  Přesvědčit se, že host nepoužívá ssh-rsa můžete příkazem

ssh -oHostKeyAlgorithms=-ssh-rsa user@host

Příští vydání OpenSSH také bude mít ve výchozím stavu zapnutou volbu UpdateHostKeys, která vám automaticky klíče konvertuje. V současnosti je potřeba napsatUpdateHostKeys ask do například do ~/.ssh/config .

(zdroj: phoronix)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 14. 2. 2020 16:53

    bez přezdívky

    Nejsem si jistý, jestli jsem zprávičku (a Release Notes) správně pochopil - znamená to, že staré klíče (ssh-keygen -t rsa a /etc/ssh/ssh_hos­t_rsa_key) přestanou s OpenSSH 8.2 fungovat, nebo že "jenom" přestane fungovat starý algoritmus a bude se využívat novější, který s těmito klíči stále pracuje?

  • 15. 2. 2020 20:09

    Harvie .cz

    zkusil jsem podle navodu prikaz ssh -oHostKeyAlgorithms=-ssh-rsa jmeno@server
    prihlasil jsem se i na server, kde se pouziva verejny klic u kteryho je napsany ssh-rsa. takze to zrejme neznamena, ze by bylo potreba menit klice. ale nevim, bliz jsem to nezkoumal.

  • 16. 2. 2020 0:18

    k3dAR

    jestli sem to dobre pochopil, NEjde o format prihlasovaciho klice, ale o format pouzitej na identifikaci/pod­pisu ciloveho stroje - ktere se pri prvnim pripojeni ukladaji na klientovi do ~/.ssh/known_hosts

    u prikazu " ssh -oHostKeyAlgorithms=-ssh-rsa jmeno@server" pak "-ssh-rsa" znamena vyloucit algoritmus ssh-rsa z overeni zda je cilovej stroj ten pravej - stejnej jako minule kdy uzivatel potvrdil "ano chci se na tento novej server pripojit"

    overit to muzes tim ze nevyloucis ale naopak vynutis (vynechas ten znak minus)
    ssh -oHostKeyAlgorit­hms=ssh-rsa jmeno@server

    misto pripojeni se ti zobrazi upozorneni "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!" s podrobnostma(vcetne toho jakej algoritmus stavajci otisk ma) a prikazem (ssh-keygen -f /cesta/k/know­n_hosts -R [host]:port) kterym muzes otisk z known_hosts odebrat, kdyz ho odeberes, znovu se pripojis s =ssh-rsa, tentokrat se zepta zda chces otisk pridat, odpojis se a pripojis znovu opet totozne a uz se nepta

    => v tuhle chvili mas to co je nevhodne pri pripojeni "ssh jmeno@server" nebo "ssh -oHostKeyAlgorit­hms=ssh-rsa jmeno@server" (bez minus) se rovnou pripoji, ale pokud ted provedet to overeni zminene v zpravice:
    "ssh -oHostKeyAlgorithms=-ssh-rsa jmeno@serve" (tedy ted to s minus) oznami se WARNING, protoze pretim vynucenej algoritmus pro otisk ssh-rsa pod kterym se pridal do known_hostst ten zakazujes...

    (pro navrat do normalu, pripoj s minus, proved prikaz "ssh-keygen ..." pod WARNING, pak se pripoj normalne ssh jmeno@server a otisk se znovu prida bezpecnej...

    16. 2. 2020, 00:19 editováno autorem komentáře