GoldenLine
Zaloguj się

konto usunięte

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Witam,

Mam public key jaki byl wygenerowany za pomoca dsa u clienta,
zostal dodany to authorized_keys na serwerze.
Jak client prubuje scp file do serwera to nie klucz nie dziala.

w auth.log:
Public key blablabla:bla:bla:bla blacklisted (see ssh-vulnkey(1))

jak zapuszcze
sudo ssh-vulnkey -a | grep client,
to mi pokazuje:
COMPROMISED: 1024 blablabla:bla:bla:bla client@remotek

Wiekszosc kluczy jakie generujemy sa przez rsa (2048) a ten jest dsa 1024,
czy moze to znaczyc ze dsa wygenerowany z 1024 bedzie zawsze jako vulnerable?

Jak moge to naprawic?

DziekiErnest Gulik edytował(a) ten post dnia 09.09.10 o godzinie 22:23
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Klient używa niezupdatowanego debiana. Najpierw update, potem wygeneruj nowy klucz.
Chyba ten raport: http://www.debian.org/security/2008/dsa-1571
Czyżbyś przez 2 lata nie aktualizował maszyny?
Link do wypowiedziLink
Paweł B.

Paweł B. System
Administrator,
eCircle Poland

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

szybki workaround bez upgradu ssh:

wywal klucze, zrob:
ssh-keygen -b 1068

(1068 to przyklad, wazne zeby nie bylo 1024 i 2048)
Link do wypowiedziLink

konto usunięte

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Stanisław Pitucha:
Klient używa niezupdatowanego debiana. Najpierw update, potem wygeneruj nowy klucz.

Ale to on generuje klucz i wysyla nam tylko client.pub a my go dodajemy to authorized_keys.

Chyba ten raport: http://www.debian.org/security/2008/dsa-1571
Czyżbyś przez 2 lata nie aktualizował maszyny?

Tyle tu jeszcze nie siedze a nie wiem co robili ci przede mna, bo nikt nic nie wie..
Update byly robione ale nie upgrade to najnowszej wersji OS.
konczy sie juz LTS paru serwerow i trzeba zrobic upgrade z 8->9->10 LTS.

Na tym serwerze jest ubuntu 8.04 LTS, czy to moze miec wplyw na ten problem?
Mamy inne klucze z dsa i nie ma takiego problemu, sam nawet zrobilem test i tez bez problemu scp/ssh dziala na rsa lub dsa ale dla tego goscia nie chce.

Najlepsze jest to ze gosc ma juz jeden public key z tej samej maszyny zrobiony i my mamy go w systemie i kiedy on zrobi scp z tego drugiego usera to nie ma problemu ale jak sie zaloguje do swojego kompa jako nowy user i prubuje scp to public nie dziala.

Jest jakis sposob by wywalic go z tej listy?
$ sudo ssh-vulnkey -a | grep client

COMPROMISED: 1024 blablabla:bla:bla:bla client@remotek

Dzieki
Link do wypowiedziLink
Paweł B.

Paweł B. System
Administrator,
eCircle Poland

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Jest jakis sposob by wywalic go z tej listy?
$ sudo ssh-vulnkey -a | grep client

COMPROMISED: 1024 blablabla:bla:bla:bla client@remotek

generalnie chodzi o to, ze stara wersja generowala lipne klucze, i pomysl aby je akceptowac jest conajmniej sredni.

jesli partner jest powazny to powinien ustosunkowac sie do requestu o inne klucze


Obrazek
Link do wypowiedziLink

konto usunięte

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Paweł Biel:
Jest jakis sposob by wywalic go z tej listy?
$ sudo ssh-vulnkey -a | grep client

COMPROMISED: 1024 blablabla:bla:bla:bla client@remotek

generalnie chodzi o to, ze stara wersja generowala lipne klucze, i pomysl aby je akceptowac jest conajmniej sredni.

jesli partner jest powazny to powinien ustosunkowac sie do requestu o inne klucze



Czyli gosc co generuje ten klucz musi miec stara wersje ssh.
Link do wypowiedziLink
Paweł B.

Paweł B. System
Administrator,
eCircle Poland

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Czyli gosc co generuje ten klucz musi miec stara wersje ssh.

Dokladnie, najlepsze co moze zrobic to jak zostalo powiedziane upgrade (przy czyms takim jak ssh to dosc kluczowa sprawa), jak chcesz na szybko to wyzej podalem workaround.
Link do wypowiedziLink

konto usunięte

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Gosciu ma stara wersje ssh:

-- ssh -V
-- OpenSSH_4.3p2 Debian-9, OpenSSL 0.9.8c 05 Sep 2006

A na tej stronce podaja ze ponizej wersji 0.9.8c-1 wszystkie DSA powinny byc traktowane jako COMPROMISED:
http://www.debian.org/security/2008/dsa-1571

Swoj prywatny klucz wygenerowal za pomoca DSA-2048 i ten dziala ale ne nowe generowal za pomoca DSA-1024 i one nie przejda.

Napisalem do goscia ze musi zrobic upgrade albo wygenerowac DSA-2048.
To wkoncu wyslal RSA ( tylko pewnie nie zrobil upgrade na ssh albo nie wie jak wygenerowac DSA-2048).
Jak przekonac goscia ze jest w bledzie? Jak udowodnic gosciowi ze upgrade na ssh na Debianie jest wazniejszy niz mu sie wydaje?Ernest Gulik edytował(a) ten post dnia 10.09.10 o godzinie 17:01
Link do wypowiedziLink

konto usunięte

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Gosc wygenerowal RSA ale jak zapuszcze komende:
sudo ssh-vulnkey -a | grep -i "client"

To dalej sie pojawia jako compromised

COMPROMISED: 2048 39:bc:e6:27:d8:e7:f8:00:21:b9:61:1d:9d:53:77:cd client@remote

I w logu jak prubuje sie polaczyc jest to samo:

Public key xx:xx:xx:xx... blacklisted (see ssh-vulnkey(1))

Jedyne rozwiazanie dla niego to jest upgrade na ssh i wygenerowac ten key jeszcze raz czy wygenerowac key dla innego uzytkownika?

Dzieki
Link do wypowiedziLink
Paweł B.

Paweł B. System
Administrator,
eCircle Poland

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

jak pisalem wyzej,

nie DSA tylko RSA i to tak:
ssh-keygen -b 1068
Link do wypowiedziLink

konto usunięte

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Dolaczam output z jego verbose mode:

--

Cannot determine realm for numeric host address

debug1: An invalid name was supplied
A parameter was malformed
Validation error

debug1: An invalid name was supplied
Cannot determine realm for numeric host address

debug1: An invalid name was supplied
A parameter was malformed
Validation error
--

Tak sie dzieje to tego uzytkownika "client" bo on jest w tej bazie COMPROMISED..
Gosciu wygenerowal rsa do innego uzytkownika i scp bez problemu.
Moze jakies sugestie? Dzieki

Wygenerowalem rsa ze swojego systemu gdzie ssh jest o wiele nowsze niz u goscia i scp dziala bez problemu. ( bez potrzeby zmiany bit lentgh).

Juz mi pomyslow brakuje, a gosc wygenerowal do innego uzytkownika public key i scp mu dziala u niego na lanie do innego kompa.

DziekiErnest Gulik edytował(a) ten post dnia 10.09.10 o godzinie 18:13
Link do wypowiedziLink

konto usunięte

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Stanisław Pitucha:
Klient używa niezupdatowanego debiana. Najpierw update, potem wygeneruj nowy klucz.
Chyba ten raport: http://www.debian.org/security/2008/dsa-1571
Czyżbyś przez 2 lata nie aktualizował maszyny?


Tak powinno byc zrobione,
tylko jak przekonasz do tego CTO ? :D
Wszystko mowi samo za siebie...

Wkoncu wygenerowal klucz z nowszej wersji ssh i teraz powinno byc ok:
sudo ssh-vulnkey -a | grep -i "client"

Not blacklisted: .......

Dzieki za pomoc
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Ernest Gulik:
Tak powinno byc zrobione,
tylko jak przekonasz do tego CTO ? :D

Bardzo prosto. Podaj na publicznym forum ip maszyny która wygenerowała ten klucz i zadaj to samo pytanie co tutaj.
Po kilku godzinach uaktualnienie wszystkich maszyn w sieci stanie się nowym priorytetem dla CTO ;)
Link do wypowiedziLink

konto usunięte

Temat: ssh nie przyjmuje publicznego klucza wygenerowanego z dsa...

Stanisław Pitucha:
Bardzo prosto. Podaj na publicznym forum ip maszyny która wygenerowała ten klucz i zadaj to samo pytanie co tutaj.

172.16.38.4
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Generowanie klucza publicznego




Wyślij zaproszenie do
Anuluj