Debian und SSH
Diesen Beitrag schrieb ich 14 Jahre und 4 Monate zuvor; die nachfolgenden Ausführungen müssen heute nicht unbedingt noch genau so funktionieren. Behalte das beim Lesen (und vor allem: beim Nachmachen!) bitte stets im Hinterkopf.
Da geistert plötzlich ein Artikel umher: SSH auf Debian-basierten Systemen unsicher!
Updates sind bereits verfügbar, wichtig ist aber natürlich nicht nur, das Update zu installieren – ich gehe ja mal dringend davon aus, dass ihr das alle bereits brav getan habt – sondern auch den Dienst einmal durchzustarten und alle Keys zu ändern.
Dafür ist es wichtig zu schauen, was in der Konfiguration /etc/ssh/sshd_config als Host-Key angegeben ist; in meinem Fall sind es die folgenden beiden Zeilen:
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
Also erstelle ich erst einmal einen Ordner und verschiebe die bisherigen Keys nebst Public Keys da hinein; natürlich könnte ich sie auch direkt löschen, aber ich möchte auf „Nummer Sicher“ gehen:
$ cd /etc/ssh/
$ mkdir .WEG
$ mv ssh_host_* .WEG/
Im nächsten Schritt (und nach wie vor im selben Verzeichnis) erstelle ich neue Keys: erst DSA, dann RSA.
$ ssh-keygen -b 1024 -N '' -t dsa -f ssh_host_dsa_key
$ ssh-keygen -b 1024 -N '' -t rsa -f ssh_host_rsa_key
Dann den Dienst einmal vollständig durchstarten (/etc/init.d/sshd restart) und – während das Login noch besteht! – ein erneutes Login versuchen. Natürlich wird der nun meckern, ihr werdet die known_hosts editieren müssen. Geht jedoch ansonsten alles gut – fein :)
Dann noch für die einzelnen User neue Keys generieren; vergesst vor allem nicht, diese Keys ggf. in den authorized_keys anderer Maschinen zu hinterlegen, falls irgendwelche Scripte (oder so…) das benötigen!