[Eisfair] ssh upgrade Warnmeldungen
Marcus Roeckrath
marcus.roeckrath at gmx.de
Do Nov 28 07:13:44 CET 2019
Hallo Helmut,
Helmut Backhaus wrote:
> ich habe gerade auf einer Maschine ssh update gemacht.
> Dabei habe ich nun doch den Key in die config gelegt.
> Beim speichern der config kamen nun folgende Warnungen:
Ich nehme an beim dabei erfolgten Restart des ssh-Daemons.
> -->
> - It is not recommended to use the key /etc/ssh/ssh_host_ecdsa_key
> anymore,
> because it is an ECDSA type key, which is classified as insecure.
> - It is not recommended to use the key /etc/ssh/ssh_host_dsa_key anymore,
> because it is a DSA type key, which is classified as insecure.
> - It is absolutely NOT recommended to use the key /etc/ssh/ssh_host_key
> anymore, because it is a RSA v1 type key, which is classified as
> extremely insecure.
>
> Please navigate to the directory /etc/ssh and move the listed key files
> (.._key and .._key.pub) to a different directory, restart the sshd
> process by executing the command '/etc/init.d/sshd restart' and make
> sure that you are still able to access your server by opening a second
> SSH shell.
> <--
>
> Das war mir schon einmal aufgefallen, habe nur vergessen hier zu fragen
> ... :-))
>
> Was soll mir das sagen?
> Habe ich etwas falsch gemacht?
Üblicherweise finden sich auf eis-Systemen nur
ssh_host_ed25519_key ssh_host_rsa_key
> Beim einrichten von ssh per Key halte ich mich eigentlich immer an diese
> Anleitung:
>
https://www.thomas-krenn.com/de/wiki/OpenSSH_Public_Key_Authentifizierung_unter_Ubuntu
>
Bei Überfliegen dieses Artikels sehe ich nicht, wo dieser die Erzeugung der
Schlüssel in /etc/ssh behandelt, sondern die Generierung einess
persönlichen User-Schlüsselpaares und dessen Übertragung des pub-Teils auf
den Server zwecks Authentifizierung mit Schlüssel statt Passwort.
Die Schlüssel in /etc/ssh sind die Ausweise des Servers selbst und werden
üblicherweise bei der Installation des Paketes erzeugt. Da waren früher
natürlich auch welche dabei, die heute als unsicher gelten.
Mach mal ein ls -l /etc/ssh.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair