Debian und SSH

Diesen Beitrag schrieb ich 16 Jahre und 4 Monate zuvor; die nachfolgenden Ausführungen müssen heute weder genau so nach wie vor funktionieren, noch meiner heutigen Meinung entsprechen. Behalte das beim Lesen (und vor allem: beim Nachmachen!) bitte stets im Hinterkopf.

Geschätzte Lesezeit: 1 Minute

Da geistert plötzlich ein Artikel umher: SSH auf Debian-basierten Systemen unsicher!

Updates sind bereits verfügbar. Wichtig ist aber natürlich nicht nur, das Update zu installieren – ich gehe ja mal dringend davon aus, dass ihr das alle bereits brav getan habt – sondern auch den Dienst einmal durchzustarten und alle Keys zu ändern.

Dafür ist es wichtig zu schauen, was in der Konfiguration /etc/ssh/sshd_config als Host-Key angegeben ist. In meinem Fall sind es die folgenden beiden Zeilen:

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

Also erstelle ich erst einmal einen Ordner und verschiebe die bisherigen Keys nebst Public Keys da hinein. Natürlich könnte ich sie auch direkt löschen, aber ich möchte auf „Nummer Sicher“ gehen:

$ cd /etc/ssh/
$ mkdir .WEG
$ mv ssh_host_* .WEG/

Im nächsten Schritt (und nach wie vor im selben Verzeichnis) erstelle ich neue Keys: erst DSA, dann RSA.

$ ssh-keygen -b 1024 -N '' -t dsa -f ssh_host_dsa_key
$ ssh-keygen -b 1024 -N '' -t rsa -f ssh_host_rsa_key

Dann den Dienst einmal vollständig durchstarten (/etc/init.d/sshd restart) und – während das Login noch besteht! – ein erneutes Login versuchen. Natürlich wird der nun meckern, ihr werdet die known_hosts editieren müssen. Geht jedoch ansonsten alles gut – fein :)

Dann noch für die einzelnen User neue Keys generieren. Vergesst vor allem nicht, diese Keys ggf. in den authorized_keys anderer Maschinen zu hinterlegen, falls irgendwelche Scripte (oder so…) das benötigen!

Alle Bilder dieser Seite: © Marianne Spiller – Alle Rechte vorbehalten
Hintergrundbild: 2448x 2448px, Bild genauer anschauen – © Marianne Spiller – Alle Rechte vorbehalten

Eure Gedanken zu „Debian und SSH“

Ich freue mich über jeden Kommentar, es sei denn, er ist blöd. Deshalb behalte ich mir auch vor, die richtig blöden kurzerhand wieder zu löschen. Die Kommentarfunktion ist über GitHub realisiert, weshalb ihr euch zunächst dort einloggen und „utterances“ bestätigen müsst. Die Kommentare selbst werden im Issue-Tracker und mit dem Label „✨💬✨ comment“ erfasst – jeder Blogartikel ist ein eigenes Issue. Über GitHub könnt ihr eure Kommentare somit jederzeit bearbeiten oder löschen.