Debian und SSH
Diesen Beitrag schrieb ich 15 Jahre und 6 Monate zuvor; die nachfolgenden Ausführungen müssen heute weder genau so nach wie vor funktionieren, noch meiner heutigen Meinung entsprechen. Behalte das beim Lesen (und vor allem: beim Nachmachen!) bitte stets im Hinterkopf.
Da geistert plötzlich ein Artikel umher: SSH auf Debian-basierten Systemen unsicher!
Updates sind bereits verfügbar. Wichtig ist aber natürlich nicht nur, das Update zu installieren – ich gehe ja mal dringend davon aus, dass ihr das alle bereits brav getan habt – sondern auch den Dienst einmal durchzustarten und alle Keys zu ändern.
Dafür ist es wichtig zu schauen, was in der Konfiguration /etc/ssh/sshd_config als Host-Key angegeben ist. In meinem Fall sind es die folgenden beiden Zeilen:
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
Also erstelle ich erst einmal einen Ordner und verschiebe die bisherigen Keys nebst Public Keys da hinein. Natürlich könnte ich sie auch direkt löschen, aber ich möchte auf „Nummer Sicher“ gehen:
$ cd /etc/ssh/
$ mkdir .WEG
$ mv ssh_host_* .WEG/
Im nächsten Schritt (und nach wie vor im selben Verzeichnis) erstelle ich neue Keys: erst DSA, dann RSA.
$ ssh-keygen -b 1024 -N '' -t dsa -f ssh_host_dsa_key
$ ssh-keygen -b 1024 -N '' -t rsa -f ssh_host_rsa_key
Dann den Dienst einmal vollständig durchstarten (/etc/init.d/sshd restart) und – während das Login noch besteht! – ein erneutes Login versuchen. Natürlich wird der nun meckern, ihr werdet die known_hosts editieren müssen. Geht jedoch ansonsten alles gut – fein :)
Dann noch für die einzelnen User neue Keys generieren. Vergesst vor allem nicht, diese Keys ggf. in den authorized_keys anderer Maschinen zu hinterlegen, falls irgendwelche Scripte (oder so…) das benötigen!
Hintergrundbild: 2448x 2448px, Bild genauer anschauen – © Marianne Spiller – Alle Rechte vorbehalten
