[Eisfair_dev] Update Base 2.3.9 online

Holger Bruenjes holgerbruenjes at gmx.net
Sa Feb 14 14:45:56 CET 2015 

Hallo NG,

Die eisfair-Version 2.3.9 ist seit heute als Update verfuegbar.


Dieses Update beinhaltet eine Aktualisierung der SSH-Konfiguration
zum Zwecke der Härtung der Einstellungen. D.h. es wurden Parameter
aus der Konfiguration entfernt und die Unterstützung veralteter
Schlüssel eingestellt, welche nach aktuellem Stand als unsicher
eingestuft werden können. Weitere Details zu den durchgeführten
Änderungen und Tipps die es gegebenenfalls vorab zu beachten gilt,
kann man in diesem Wiki-Eintrag nachlesen:

https://ssl.nettworks.org/wiki/pages/viewpage.action?pageId=23330858


Ich bedanke mich beim eisfair-Team und eisfair-Test-Team und
wuensche allen viel Freude weiterhin an eisfair.


Holger

Xpost + F'up 2 s.e


Hier die Aenderungen im Ueberblick:



base 2.3.8 -> 2.3.9
===================

Aenderungen fuer eisfair-1:
- Bugfixes/Korrekturen:
    - SSH Haertung entsprechend dieser Empfehlungen durchgefuehrt:
      https://stribika.github.io/2015/01/04/secure-secure-shell.html
    - /var/install/bin/system-ssh-create-server-keys - Es werden nun
      standardmaessig nur die Schluessel im Format 'ed25519' und
      'rsa' (4096 bit) erstellt.
    - /var/install/config.d/ssh.sh - Es werden nun standardmaessig
      nur die Schluessel im Format 'ed25519' und 'rsa' (4096 bit)
      erstellt und in die sshd_config-Datei eingetragen.
    - /var/install/config.d/ssh.sh - Es werden nun neue
      Standardwerte fuer die Parameter Ciphers, MACs, KexAlgorithms
      in die sshd_config-Datei geschrieben.
    - /var/install/config.d/ssh.sh - Es wird nun eine Datei
      ssh_config angelegt falls diese nicht existiert bzw. die Datei
      wird aktualisiert falls bereits gleichnamige Datei bereits
      existiert.
    - /var/install/bin/system-ssh-create-client-keys - Ueber dieses
      Skript ist es nun moeglich Anwenderschluessel menuegefuehrt zu
      erstellen.
    - /var/install/bin/post-system-ssh-view-log,
      /var/install/bin/pre-system-ssh-view-log,
      /var/install/menu/setup.system.ssh.menu - Es wurde ein
      Menuepunkt 'View log messages'zur Anzeige von Logmeldungen
      hinzugefuegt.
    - /var/install/config.d/ssh-update.sh,
      /var/install/config.d/ssh.sh - Die Unterstuetzung von SSH
      Protokoll 1 wurde gaenzlich entfernt, somit entfallen die
      Parameter SSH_USE_SSH1, SSH_USE_SSH2 und SSH_SVR_KEYBITS.
    - /var/install/config.d/ssh-update.sh,
      /var/install/config.d/ssh.sh - Es wurden die neuen Parameter
      SSH_SERVER_CIPHERS, SSH_SERVER_KEXS und SSH_SERVER_MACS zur
      Konfiguration hinzugefuegt, uber welche vom Standard
      abweichende Einstellungen fuer Ciphers, KEX (Key Exchange) und
      MAC (Message Authentication Code) angegeben werden koennen.
    - /etc/ssh/moduli - Die moduli-Datei wurde aktualisiert, welche
      keine DH Primzahlen mit einer Laenger unter 2047 Bit mehr
      enthaelt.
    - Installation wird wiederholt vom grep wrapper Skript.

- Bugfixes/corrections:
    - Done a SSH hardening as recommened on the following website:
      https://stribika.github.io/2015/01/04/secure-secure-shell.html
    - /var/install/bin/system-ssh-create-server-keys - By default
      only 'ed25519' and 'rsa' (4096 bit) keys are now created by
      the script.
    - /var/install/config.d/ssh.sh - Default values for the
      parameters Ciphers, MACs, KexAlgorithms will now be written
      to the sshd_config file.
    - /var/install/config.d/ssh.sh - By default only 'ed25519' and
      'rsa' (4096 bit) keys are now created by the script and used
      in the sshd_config config file.
    - /var/install/config.d/ssh.sh - The configuration file
      ssh_config will now be created if it doesn't exist or replaced
      if it already exists.
    - /var/install/bin/system-ssh-create-client-keys - This script
      has been added to allow to created personal keys easily.
    - /var/install/bin/post-setup-system-ssh-view-log,
      /var/install/bin/pre-setup-system-ssh-view-log,
      /var/install/menu/setup.system.ssh.menu - The menu entry 'View
      log messages' has been added to allow to display sshd related
      log  messages.
    - /var/install/config.d/ssh-update.sh - Support for SSH
      protocol 1 has been dropped therefore the parameters
      SSH_USE_SSH1, SSH_USE_SSH2 and SSH_SVR_KEYBITS have been
      removed from the configuration file.
    - /var/install/config.d/ssh-update.sh,
      /var/install/config.d/ssh.sh - The new parameter
      SSH_SERVER_CIPHERS, SSH_SERVER_KEXS and SSH_SERVER_MACS have
      been added to the configuration to allow to set individual
      values for Ciphers, KEX (Key Exchange)and MACs (Message
      Authentication Code).
    - /etc/ssh/moduli - An updated moduli file has been added which
      doesn't contain DH primes with a length less than 2047 bits.
    - Reinstall grep wrapper script

Mehr Informationen über die Mailingliste Eisfair_dev