Kleiner Schönheitsfehler bei sshd_config und /etc/init.d/sshd
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Mahlzeit, entweder ich hab grad einen Denkfehler, oder das Skript zum sshd hat wirklich einen Schönheitsfehler: in der sshd_config kann man über HostKey for protocol version 1 HostKey /etc/ssh/ssh_host_key HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key ja die Namen der KEY-Dateien festlegen. Hab ich gemacht, und den Server neu gestartet. Dabei wurden die "alten" Keys bzw. Keys mit den alten Dateinamen wieder erzeugt. WTF? Also in /etc/init.d/sshd nachgeschaut, und die Schuldigen gefunden:
case "$1" in start) if ! test -f /etc/ssh/ssh_host_key ; then echo Generating /etc/ssh/ssh_host_key. ssh-keygen -t rsa1 -b 1024 -f /etc/ssh/ssh_host_key -N '' fi if ! test -f /etc/ssh/ssh_host_dsa_key ; then echo Generating /etc/ssh/ssh_host_dsa_key.
ssh-keygen -t dsa -b 1024 -f /etc/ssh/ssh_host_dsa_key -N '' fi if ! test -f /etc/ssh/ssh_host_rsa_key ; then echo Generating /etc/ssh/ssh_host_rsa_key.
ssh-keygen -t rsa -b 1024 -f /etc/ssh/ssh_host_rsa_key -N '' fi
Da stehen die Namen ja drin. Hm, sollte das so sein? Also, ist es nötig sicherzustellen dass die Keys existieren? Und wenn ja, kann man dann nicht per SSH-Optionen (also Auslesen der sshd_config) die richtigen Namen übernehmen? Ich könnte natürlich per Hand im Skript die Namen anpassen, aber schöner wäre es halt wenn das "automatisch" geschehen würde. Also wenn in ssh_config eine Einstellung gesetzt wird, dann benutz diese Namen, wenn nicht Standardname. Grüße, OJ - -- A bunch of security trolls had been hired to guard her. They paced the corridor in a menacing group, talking in grunts and comparing the size of their clubs. (Harry Potter and the Prisoner of Azkaban) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD4DBQFGZHPzMAex/QZx/TMRAsCJAJQOCCWg9QXWlWcchclP6iaL/YLIAJ9/FBZ1 +rwEZWmzusdR8HyOjDbb/A== =+xAK -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mo Juni 4 2007 22:20:03 schrieb Johannes Kastl:
Mahlzeit,
entweder ich hab grad einen Denkfehler, oder das Skript zum sshd hat wirklich einen Schönheitsfehler:
in der sshd_config kann man über HostKey for protocol version 1 HostKey /etc/ssh/ssh_host_key HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key
ja die Namen der KEY-Dateien festlegen. Hab ich gemacht, und den Server neu gestartet. Dabei wurden die "alten" Keys bzw. Keys mit den alten Dateinamen wieder erzeugt. WTF?
Also in /etc/init.d/sshd nachgeschaut, und die Schuldigen gefunden:
case "$1" in start) if ! test -f /etc/ssh/ssh_host_key ; then echo Generating /etc/ssh/ssh_host_key. ssh-keygen -t rsa1 -b 1024 -f /etc/ssh/ssh_host_key -N '' fi if ! test -f /etc/ssh/ssh_host_dsa_key ; then echo Generating /etc/ssh/ssh_host_dsa_key.
ssh-keygen -t dsa -b 1024 -f /etc/ssh/ssh_host_dsa_key -N '' fi if ! test -f /etc/ssh/ssh_host_rsa_key ; then echo Generating /etc/ssh/ssh_host_rsa_key.
ssh-keygen -t rsa -b 1024 -f /etc/ssh/ssh_host_rsa_key -N '' fi
Da stehen die Namen ja drin. Hm, sollte das so sein? Also, ist es nötig sicherzustellen dass die Keys existieren? Und wenn ja, kann man dann nicht per SSH-Optionen (also Auslesen der sshd_config) die richtigen Namen übernehmen?
Ich könnte natürlich per Hand im Skript die Namen anpassen, aber schöner wäre es halt wenn das "automatisch" geschehen würde. Also wenn in ssh_config eine Einstellung gesetzt wird, dann benutz diese Namen, wenn nicht Standardname.
Schreib doch mal einen Bugreport. Alle deine Änderungen werden nach dem nächsten Update sowieso wieder verschwinden... Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 05.06.2007 08:12 schrieb Wolfgang Erlenkötter:
Schreib doch mal einen Bugreport.
Davor wollte ich erstmal fragen, ob ich da was übersehe, und das Feature sicherheitstechnisch Unsinn ist.
Alle deine Änderungen werden nach dem nächsten Update sowieso wieder verschwinden...
Du meinst meine Änderungen an /etc/init.d/sshd? OJ - -- | Was also tun? Erschieß die Admins, das wusste schon Eric Clapton zu besingen in seinem Hit 'I shot the admin...'. (Thomas Schade in dcsm.mailnews) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFGZYT0MAex/QZx/TMRAsv3AJ9+vGlzuglckldjRVWOzr90GHpoEwCeNcfs xhHwEtyIdrMBTaVCoxqQUeQ= =NsZD -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Di Juni 5 2007 17:44:52 schrieb Johannes Kastl:
Am 05.06.2007 08:12 schrieb Wolfgang Erlenkötter:
Schreib doch mal einen Bugreport.
Davor wollte ich erstmal fragen, ob ich da was übersehe, und das Feature sicherheitstechnisch Unsinn ist.
Falls du die sshd_config angepasst hast, macht es keinen Sinn, im init-Skript Dateien zu erstellen, die überflüssig sind. Schön wäre ein Schalter in /etc/sysconfig/ssh, ob die Dateien erzeugt werden sollen. Btw: unter debian ist das Skript ganz anders...
Alle deine Änderungen werden nach dem nächsten Update sowieso wieder verschwinden...
Du meinst meine Änderungen an /etc/init.d/sshd?
Genau. Wolfgang
OJ --
| Was also tun?
Erschieß die Admins, das wusste schon Eric Clapton zu besingen in seinem Hit 'I shot the admin...'. (Thomas Schade in dcsm.mailnews)
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 05.06.2007 18:00 schrieb Wolfgang Erlenkötter:
Am Di Juni 5 2007 17:44:52 schrieb Johannes Kastl:
Falls du die sshd_config angepasst hast, macht es keinen Sinn, im init-Skript Dateien zu erstellen, die überflüssig sind. Schön wäre ein Schalter in /etc/sysconfig/ssh, ob die Dateien erzeugt werden sollen.
Noch besser: Eine Überprüfung ob sshd_config obige Optionen enthält (grep oder so), und wenn ja Anlegen der anders benannten Dateien.
Btw: unter debian ist das Skript ganz anders...
Nämlich? Wird da überprüft ob die Dateien existieren?
Du meinst meine Änderungen an /etc/init.d/sshd?
Genau.
Sicher? Sollte da nicht RPM merken, dass die Dateien geändert wurden? Und irgendwelche bla.rpmnew anlegen oder so? OJ - -- "Wißt ihr", hat er zu ihnen gesagt. "Richtig schreiben zu lernen, das solltet ihr eigentlich schon aus Höflichkeit tun. Weil es den anderen Leuten dann Sehr viel leichter fällt, das zu lesen und zu verstehen, was ihr geschrieben habt."(O. Preußler: Herr Klingsor konnte ein bißchen zaubern) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFGZaQSMAex/QZx/TMRAiocAJ9eR+/1vFfE90B0Gmpz1agfWDE1MQCeMDGL xyPce2OHD4l/xD/DagDUu4A= =T9fM -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Di Juni 5 2007 19:57:38 schrieb Johannes Kastl:
Am 05.06.2007 18:00 schrieb Wolfgang Erlenkötter:
Am Di Juni 5 2007 17:44:52 schrieb Johannes Kastl:
Falls du die sshd_config angepasst hast, macht es keinen Sinn, im init-Skript Dateien zu erstellen, die überflüssig sind. Schön wäre ein Schalter in /etc/sysconfig/ssh, ob die Dateien erzeugt werden sollen.
Noch besser: Eine Überprüfung ob sshd_config obige Optionen enthält (grep oder so), und wenn ja Anlegen der anders benannten Dateien.
Btw: unter debian ist das Skript ganz anders...
Nämlich? Wird da überprüft ob die Dateien existieren?
Nee, das ist recht rudimentär. Falls Interesse besteht, kann ich dir das ja per PM zumailen.
Du meinst meine Änderungen an /etc/init.d/sshd?
Genau.
Sicher? Sollte da nicht RPM merken, dass die Dateien geändert wurden? Und irgendwelche bla.rpmnew anlegen oder so?
Bin mir da etwas unsicher... Mal testen. Das gilt m.E. nur für Konfigurationsdateien, oder? Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 06/07/2007 04:28 PM Wolfgang Erlenkötter wrote:
Nee, das ist recht rudimentär. Falls Interesse besteht, kann ich dir das ja per PM zumailen.
Gerne. Ich hab mal auf einer UBUNTU-Kiste gekuckt, da wird im init-Skript auch nix überprüft. Ich frage mich wo das überprüft wird, ohne Keys startet der Server nämlich nicht. Also steckt das nicht in /usr/sbin/sshd.
Bin mir da etwas unsicher... Mal testen. Das gilt m.E. nur für Konfigurationsdateien, oder?
Ja. rcrpmconfigcheck hilft da unter Suse beim Auffinden solcher Dateien. OJ - -- `Voldemort himself created his worst enemy, just as tyrants everywhere do! Have you any idea how much tyrants fear the people they oppress? All of them realise that, one day [...]there is sure to be one who rises against them and strikes back.´ (Harry Potter 6) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFGaERRMAex/QZx/TMRAhZvAJwMgDEMWD39aGOzRdr+VJS1IAok2ACeIKiI NEzywcZw8gZHlke7u39SiqY= =tHT0 -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 06/05/2007 05:44 PM Johannes Kastl wrote:
Davor wollte ich erstmal fragen, ob ich da was übersehe, und das Feature sicherheitstechnisch Unsinn ist.
Den Bug gab es schon: [Bug 281228] /etc/init.d/sshd has hardcoded ssh_host_keys https://bugzilla.novell.com/show_bug.cgi?id=281228 OJ - -- "Wenn die Gefahr groß ist, dass das Kind wegen seines Namens verspottet wird, dann lehnen wir ihn ab." Es ist also auch Ermessenssache der Standesbeamten, ob Kermit und Winnetou im Kindergarten mit Cinderella und Messias spielen dürfen. (www.spiegel.de/panorama/0,1518,390888,00.html) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFGZ+kSMAex/QZx/TMRAizFAJ9sXKmAVE+N3pNg+1F/2osUkKBMnQCfeEjw KxbZc+rK6zGLDE8BnFS/YVI= =u85E -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Tue 05 Jun 2007 18:12:49 NZST +1200, Wolfgang Erlenkötter wrote:
Schreib doch mal einen Bugreport. Alle deine Änderungen werden nach dem nächsten Update sowieso wieder verschwinden...
Nein werden sie nicht. /etc/ssh/sshd_config ist in rpm ein "config" file, wenn es nicht mehr mit der im rpm-Paket enthaltenen Version übereinstimmt, wird bei einem Update die neue Datei nach /etc/ssh/sshd_config.rpmnew geschrieben und die Alte bleibt unverändert. Volker -- Volker Kuhlmann is list0570 with the domain in header http://volker.dnsalias.net/ Please do not CC list postings to me. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Fr Juni 8 2007 11:22:25 schrieb Volker Kuhlmann:
On Tue 05 Jun 2007 18:12:49 NZST +1200, Wolfgang Erlenkötter wrote:
Schreib doch mal einen Bugreport. Alle deine Änderungen werden nach dem nächsten Update sowieso wieder verschwinden...
Nein werden sie nicht. /etc/ssh/sshd_config ist in rpm ein "config" file, wenn es nicht mehr mit der im rpm-Paket enthaltenen Version übereinstimmt, wird bei einem Update die neue Datei nach /etc/ssh/sshd_config.rpmnew geschrieben und die Alte bleibt unverändert.
Stimmt. Sogar rpm -qc openssh /etc/init.d/sshd /etc/pam.d/sshd /etc/ssh/moduli /etc/ssh/ssh_config /etc/ssh/sshd_config das init-Skript wird demnach nicht überschrieben... Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Johannes Kastl -
Volker Kuhlmann -
Wolfgang Erlenkötter