Da geistert plötzlich ein Artikel umher: SSH auf Debian-basierten Systemen unsicher!
Updates sind bereits verfügbar, wichtig ist aber natürlich nicht nur, das Update zu installieren — ich gehe ja mal dringend davon aus, dass ihr das alle bereits brav getan habt — sondern auch den Dienst einmal durchzustarten und alle Keys zu ändern.
Dafür ist es wichtig zu schauen, was in der Konfiguration /etc/ssh/sshd_config als Host-Key angegeben ist; in meinem Fall sind es die folgenden beiden Zeilen:
HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key
Also erstelle ich erst einmal einen Ordner und verschiebe die bisherigen Keys nebst public Keys da hinein; natürlich könnte ich sie auch direkt löschen, aber ich möchte auf „Nummer Sicher“ gehen:
$ cd /etc/ssh/ $ mkdir .WEG $ mv ssh_host_* .WEG/
Im nächsten Schritt (und nach wie vor im selben Verzeichnis) erstelle ich neue Keys: erst DSA, dann RSA.
$ ssh-keygen -b 1024 -N '' -t dsa -f ssh_host_dsa_key $ ssh-keygen -b 1024 -N '' -t rsa -f ssh_host_rsa_key
Dann den Dienst einmal vollständig durchstarten (/etc/init.d/sshd restart) und — während das Login noch besteht! — ein erneutes Login versuchen. Natürlich wird der nun meckern, ihr werdet die known_hosts editieren müssen. Geht jedoch ansonsten alles gut — fein :)
Dann noch für die einzelnen User neue Keys generieren; vergesst vor allem nicht, diese Keys ggf. in den authorized_keys anderer Maschinen zu hinterlegen, falls irgendwelche Scripte (oder so…) das benötigen!
