[buug-l] Umstellung auf ssh v2
Alexander Stielau
aleks@sailtraining.de
Mon, 17 Dec 2001 19:29:49 +0100
Hallo Angelika, hallo Jungs!
Da SSH Protokollversion 1 immer wieder ein Quell der Freude und des
Exploitens ist, wird coredump.buug.de in kurzer Zeit nur noch via SSH
Protokollversion 2 erreichbar sein.
Da ein großer Teil von den Leuten, die auf coredump einen Account
haben, auf dieser Liste sind, zweckenfremde ich diese mal kurz dafür,
um Euch das mitzuteilen.
Noch keinen Account, aber einen haben wollen?
-> Mail mit einem SSH2-Key und dem bevorzugten Loginnamen an Aleks.
Der Rechner preferiert jetzt schon Protokoll zwei, wer sich auf altem
Wege, also "ssh username@buug.de" einloggen will, kommt nicht rein,
die Fehlermeldung ist erst bei einem -v-Versuch klar.
Um zum Key hinterlegen noch SSH Protokoll 1 verwenden zu können, bitte
"ssh -1 username@buug.de" verwenden.
Um einen gültigen SSH Protokoll 2 Key zu erzeugen, ruft man auf einem
vertrauenswürdigen Rechner ein geeignet¹ aktuelles ssh-keygen mit der
Option -t dsa auf. /Bitte/ verwendet eine 'starke' Passphrase.
Dabei entstehen dann in ~/.ssh die Dateien id_dsa und id_dsa.pub.
Den Public-key überträgt man mit scp auf coredump, und fügt ihn
der Datei .ssh/authorized_keys hinzu:
scp -1 ~/.ssh/id_dsa.pub username@buug.de:~/.ssh/key2
ssh -1 username@buug.de cat .ssh/key2 >> .ssh/authorized_keys
Auf coredump wird OpenSSH Version 3 verwendet, eine paralelle Nutzung
von knownhost2, authorized_keys2 und so weiter ist nicht mehr
notwendig.
ssh-agent kann mit SSH-v2-Keys genauso umgehen, wenn diese beim ssh-add
explizit genannt werden, also 'ssh-add .ssh/id_dsa'.
Rückfragen bitte an admins@buug.de
Aleks
¹ Also eine SSH-Version, die Protokoll 2 beherrscht.
Resourcen:
http://www.securityfocus.com/archive/1/161150
http://www.openssh.com
--
Der Schrauber schafft, der Hebel waechst,
es steigt die Kraft, die Schraube aechzt.
Zu spaet merkt erst die Grosshirnrinde -
die Schraube trug ein Linksgewinde.