[Eisfair_dev] Wichtige Änderungen für ssh/sshd im kommenden Base-Update 2.8.4
Marcus Roeckrath
marcus.roeckrath at gmx.de
So Mär 11 23:11:36 CET 2018
Hallo,
Marcus Roeckrath wrote:
auch wenn ich nerve, gibts den Text nochmal.
Nicht dass jemand sich mit dem kommenden Base-Update ausperrt und dann von
nichts "gewußt haben will". :-)
> Hallo,
>
> im kommenden Base-Update wird es zu wichtigen Änderungen im Bereich
> ssh/sshd und damit allen Programmen kommen, die ssh-Verbindungen nutzen.
>
> Es wurden von den Programmierern weitere unsichere Optionen endgültig aus
> dem Code entfernt.
>
> Je nach derzeitigen Einstellungen kann dies dazu führen, dass
> ssh-Verbindungen scheitern.
>
> Wenn das Base-Update in einigen Tagen kommt und dieses über eine
> ssh-Verbindung eingespielt wird, muss diese solange offen gehalten werden,
> bis sichergestellt ist, dass nach dem Update eine neue Verbindung,
> gegebenenfalls nach Konfigurationsanpassung für ssh unter
>
> System administration -> SSH administration
>
> hergestellt werden kann.
>
> Folgende Optionen wurden entfernt:
>
> CIPHERs: arcfour256, arcfour128, arcfour, cast128-cbc und blowfish-cbc
>
> MACs: hmac-ripemd160-etm at openssh.com, hmac-ripemd160 und
> hmac-ripemd160 at openssh.com
>
> Insbesondere die nun abgeschalteten MACs sind oft noch bei älteren Clients
> in Gebrauch und die beiden ersten davon gehörten bislang zu den
> Default-MACs auf dem eis.
>
> Hier ein fehlgeschlagener Versuch, bei dem dann ausgegeben wird, welche
> MACs Quell- und Zielsystem unterstützen:
>
> no matching mac found: client
>
hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160 at openssh.com,hmac-sha1-96,hmac-md5-96
> server
>
hmac-sha2-512-etm at openssh.com,hmac-sha2-256-etm at openssh.com,umac-128-etm at openssh.com,
> hmac-sha2-512,hmac-sha2-256,umac-128 at openssh.com
>
> Abhilfe schafft dann eine andere der weiteren MACs zusätzlich zum Wert
> default in der ssh-Konfigurationschicht für den ssh einzutragen, z. B.
> hmac-md5-96.
>
> In erinnere an den Wiki-Artikel
>
> https://web.nettworks.org/wiki/pages/viewpage.action?pageId=23330858
>
> der aus Anlass der letzten Diensthärtung im Base 2.3.9 verfasst und nun
> von mir aktualisiert wurde.
>
> Diese sollte aufmerksam gelesen werden.
>
> Fragen bitte hier stellen.
>
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair_dev