Problemi di sicurezza in OpenSSL

[Volans]

Hai ragione non c'è... avevo fatto rapidamente:

Codice:

apt-cache search ssh-vulnkey
openssh-blacklist - list of blacklisted OpenSSH RSA and DSA keys

Allora ssh-vulnkey sta nel pacchetto openssh-client e il pacchetto openssh-blacklist serve a dire a ssh-vulnkey quali sono le chiavi da scartare. Aggiorno il primo post, scusate per l'imprecisione.

[Schwitzd]

Hai ragione non c'è... avevo fatto rapidamente:

Codice:

apt-cache search ssh-vulnkey
openssh-blacklist - list of blacklisted OpenSSH RSA and DSA keys

Allora ssh-vulnkey sta nel pacchetto openssh-client e il pacchetto openssh-blacklist serve a dire a ssh-vulnkey quali sono le chiavi da scartare. Aggiorno il primo post, scusate per l'imprecisione.

Confermo ssh-vulnkey è presente nel pacchetto openssh-client

[takeda007]

Aggiungo che si può usare il comando:

Codice:

sudo ssh-vulnkey -a

per avere una lista delle chiavi presenti sul sistema, nel caso ci sia scritto "COMPROMISED" allora va rigenerata DOPO l'aggiornamento dei pacchetti.

Ma è normale?

Codice:

mattia@mattia-laptop:~$ sudo ssh-vulnkey -a
mattia@mattia-laptop:~$

[mistermax80]

Sono un deficente...

Io utilizzo il server SSH solo per collegarmi da remoto al pc, quindi non ho mai generato chiavi, infatti chiavi compromised non ci sono, ma ho cancellato il file .ssh/known_host, ora non mi collego più come faccio a ricrearlo o come risolvo il problema?

Quando provo a collegarmi mi dice:

Codice:

massimo@massimo-laptop:/$ ssh massimo@192.168.0.2
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
98:51:aa:47:7d:12:c1:6f:6e:bb:c5:18:66:9d:0f:ff.
Please contact your system administrator.
Add correct host key in /home/massimo/.ssh/known_hosts to get rid of this message.
Offending key in /home/massimo/.ssh/known_hosts:1
RSA host key for 192.168.0.2 has changed and you have requested strict checking.
Host key verification failed.
massimo@massimo-laptop:/$

EDIT: E' bastato cancellare il file sia dal client che dal server, ora riesco a collegarmi nuovamente al server.

[369]

Grazie della segnalazione! Sistema aggiornato! Ora proviamo ad aggiornare l'altro ...

[massi999]

appena metto CHECK mi dice questo che devo fare 

Codice:

W: GPG error: http://morgoth.free.fr gutsy-backports Release: Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 8CC68B397E2E4741

ho ubuntustudio appena appena aggiornata alla 8.04 e finora ho fatto tutti gli aggiornamenti richiesti
c'è ancora rischio?

[turnick]

perdonate la mia ignoranza, ma io ho aggiornato il sistema e dando il comando

Codice:

sudo ssh-vulnkey -a

mi compare

Codice:

Not blacklisted: 2048 d9:2f:cd:82:1a:ab:4f:49:7d:8b:37:3e:3e:e3:77:4b /etc/ssh/ssh_host_rsa_key.pub
Not blacklisted: 1024 26:8d:e5:b7:48:a1:92:9b:9b:59:59:b1:2b:c9:67:b1 /etc/ssh/ssh_host_dsa_key.pub
COMPROMISED: 2048 31:14:d8:b2:f3:de:aa:c4:be:df:73:1c:7b:80:8d:92 /root/.ssh/id_rsa.pub
COMPROMISED: 1024 0e:cd:f9:80:8d:02:0d:6d:c9:60:ac:59:39:74:85:6c /root/.ssh/id_dsa.pub
morte@morte-desktop:~$

cosa devo fare??? cosa vuol dire rigenerare le chiavi??? e come si fa??? a grazie a chi risponde e scusate ancora!

[iron84]

Ma usando ad esempio denyhost, si può limitare un pelo a questa criticità fino a quando non si riesca ad aggiornare il sistema?

[Volans]

@massi999:
l'errore che ti da l'aggiornamento è dovuto ad un repository non ufficiale che hai aggiunto del quale non hai la chiave GPG (non c'entra nulla con SSH ) se quel repository fornisce una chiave aggiungila al tuo seti di chiavi, altrimenti è normale che dia l'errore.

@turnick:
l'aggiornamento di sistema ti ha aggiornato le chiavi in /etc ma non quelle dell'utente di root che in questo caso ne aveva due.
Per rigenerarle dovrebbe bastare, una volta fatto il login con l'utente di root su un terminale, per la prima:

Codice:

ssh-keygen -b 2048

e per la seconda:

Codice:

ssh-keygen -b 1024 -t dsa

inoltre nel tuo caso ti consiglio di cancellare il file /root/.ssh/known_hosts (se presente)

@iron84:
si sicuramente denyhost (che si trova in Synaptic) può aiutare ad evitare attacchi di tipo brute force, ma è comunque consigliabile aggiornare il prima possibile e rigenerare le chiavi compromesse (o tutte per sicurezza )

PER TUTTI
Oggi sono usciti altri annunci di aggiornamenti di sicurezza che potete leggere in questa Sezione del Forum, consiglio a tutti pertanto di riaggiornare il sistema, non ho capito se sia necessario rigenerare le chiavi, domani approfondisco la cosa...

[DktrKranz]

b]PER TUTTI[/b]
Oggi sono usciti altri annunci di aggiornamenti di sicurezza che potete leggere in questa Sezione del Forum, consiglio a tutti pertanto di riaggiornare il sistema, non ho capito se sia necessario rigenerare le chiavi, domani approfondisco la cosa...

Se avete già ricreato le chiavi, potete dormire sonni tranquilli. Gli aggiornamenti successivi risolvono alcuni problemi dei pacchetti (essendo stati rilasciati in fretta e furia, si è tralasciato qualche dettaglio...), l'unica notazione interessante riguarda lo script per il controllo delle chiavi difettose, il quale omette di segnalare la presenza di una chiave vulnerabile nel caso sia stata generata con opzioni particolari. Siete invitati a rieffettuare il controllo ma se, per sicurezza, avete già creato una nuova coppia di chiavi, siete a posto.

[ezk]

Ciao, scusate la domanda forse un po' "scema", dopo aggiornamento del sistema dal terminale viene fuori:
x@x-desktop:~$  sudo ssh-vulnkey -a
x@x-desktop:~$
 penso che sia normale, giusto
PS ho cliccato avanti alla schermata di creazione chiavi.

[Volans]

Pare che tu non abbia chiavi... strano che non ci siano neanche quelle in /etc/ssh/  (ssh_host_rsa_key.pub e ssh_host_dsa_key.pub)

[ezk]

Grazie per la sollecita risposta da terminale ho controllato in /etc/ssh risultato:
x@x-desktop:/etc/ssh$ ls
moduli  ssh_config
a questo punto cosa devo fare? succede niente? la macchina come si vede è un desktop.

[Volans]

No, nulla dato che non avendo chiavi non è necessario rigenerarle.
Unica cosa che puoi fare se ti colleghi in ssh ogni tanto a qualche server, e questi server hanno modificato la chiave ssh a seguito del bug, di cancellare i file known_hosts che si trovano nella cartella .ssh nella home di tutti gli utenti che hanno usato ssh almeno una volta. (non ricordo se ce n'è uno anche in /etc/ssh/ )

[ezk]

Ho controllato ora nella /home/.ssh non c'è nulla come in /etc/ssh, ovvio mai collegato ad un server in ssh;
tanto per sapere quando/come/perchè ci si dovrebbe collegare in ssh ad un server?

[carver55]

http://it.wikipedia.org/wiki/Secure_shell

generalmente per controllare un'altra macchina in remoto

[ezk]

Perfetto, grazie

[turnick]

@massi999:
l'errore che ti da l'aggiornamento è dovuto ad un repository non ufficiale che hai aggiunto del quale non hai la chiave GPG (non c'entra nulla con SSH ) se quel repository fornisce una chiave aggiungila al tuo seti di chiavi, altrimenti è normale che dia l'errore.

@turnick:
l'aggiornamento di sistema ti ha aggiornato le chiavi in /etc ma non quelle dell'utente di root che in questo caso ne aveva due.
Per rigenerarle dovrebbe bastare, una volta fatto il login con l'utente di root su un terminale, per la prima:

Codice:

ssh-keygen -b 2048

e per la seconda:

Codice:

ssh-keygen -b 1024 -t dsa

inoltre nel tuo caso ti consiglio di cancellare il file /root/.ssh/known_hosts (se presente)

@iron84:
si sicuramente denyhost (che si trova in Synaptic) può aiutare ad evitare attacchi di tipo brute force, ma è comunque consigliabile aggiornare il prima possibile e rigenerare le chiavi compromesse (o tutte per sicurezza )

PER TUTTI
Oggi sono usciti altri annunci di aggiornamenti di sicurezza che potete leggere in questa Sezione del Forum, consiglio a tutti pertanto di riaggiornare il sistema, non ho capito se sia necessario rigenerare le chiavi, domani approfondisco la cosa...

scusa ma mi compare questo

Codice:

root@morte-desktop:/home/morte# ssh-keygen -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):

e dopo se metto quello che ho nella parentesi mi chiede di mettere una passphrase (cos'è??? ) ma se io uso il computer a scopo domestico, vale la pena a perdere tempo per sistemare queste chiavi?

[Volans]

Nel primo messaggio della discussione è scritto:
Per chi non usa le chiavi SSH o non sa cosa siano un normale aggiornamento del sistema è sufficiente!

[turnick]

Nel primo messaggio della discussione è scritto:
Per chi non usa le chiavi SSH o non sa cosa siano un normale aggiornamento del sistema è sufficiente!

a ok grazie lo stesso