ssh hostkey unverändert trotz Neuinstallation !?!
Hi, ich habe hier ein ziemlich seltsames Phänomen: ich habe eine VM neu installiert. Die VM hat bereits existiert, ich habe die vorhandenen Partitionen (zwei primäre und ein LV) übernommen, aber neu formatiert. Dann habe ich das OS (SLES 11 SP2 64bit) installiert. Als ich mich anschließend von einem anderen host per ssh mit der VM verbundenen habe, habe ich mich schon gewundert, wieso der neue ssh-host key nicht angemeckert wird. Also habe ich mal aus dem backup _vor_ der Neuinstallation alle hostkeys aus /etc/ssh zurückgespielt. Die sind mit den jetzt vorhandenen identisch ! Habe mit md5sum geprüft. Wie kann das sein ? Ich dachte, die werden bei jeder Installation neu erzeugt. Und das alle zufällig gleich sind, ist absolut unwahrscheinlich. Oder sind irgendwie die vorhandenen, trotz Neuinstallation mit Formatierung, übernommen worden ? Gibt es irgendwo logs der Installation, aus denen man erkennen kann, was das setup gemacht hat ? Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik Gebäude 35.34 - Raum 208 HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 2294 http://www.helmholtz-muenchen.de/idg Leute, versauft's nit Euer ganzes Geld. Kauft lieber Bier davon ! Karl Valentin Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Bernd schrieb:
Hi,
ich habe hier ein ziemlich seltsames Phänomen: ich habe eine VM neu installiert. Die VM hat bereits existiert, ich habe die vorhandenen Partitionen (zwei primäre und ein LV) übernommen, aber neu formatiert. Dann habe ich das OS (SLES 11 SP2 64bit) installiert. Als ich mich anschließend von einem anderen host per ssh mit der VM verbundenen habe, habe ich mich schon gewundert, wieso der neue ssh-host key nicht angemeckert wird. Also habe ich mal aus dem backup _vor_ der Neuinstallation alle hostkeys aus /etc/ssh zurückgespielt. Die sind mit den jetzt vorhandenen identisch ! Habe mit md5sum geprüft. Wie kann das sein ? Ich dachte, die werden bei jeder Installation neu erzeugt. Und das alle zufällig gleich sind, ist absolut unwahrscheinlich. Oder sind irgendwie die vorhandenen, trotz Neuinstallation mit Formatierung, übernommen worden ? Gibt es irgendwo logs der Installation, aus denen man erkennen kann, was das setup gemacht hat ?
ich habe noch 2x installiert, in beiden Fällen entsprachen die keys denen _vor_ der Formatierung der Platte. Manuell mit ssh-keygen erzeugte hostkeys unterschieden sich von denen vor der Formatierung. Heißt das jetzt, daß a) Die keys immer wieder identisch erzeugt werden oder b) die keys von der angeblich formatierten Platte übernommen werden ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Das kann man ganz einfach verifizieren, einfach mal platte vor dem
installieren neu formatieren oder die erstan paar sektoren nullen und
dann neu installieren. Wenn dann immer noch der selbe hostkey
rauskommt das ist da irgendwo ein bug im installer. Falls er dan
anders ist, dann wird er bei überinstallation aus dem alten system
ausgelesen und in die neue installation eingepflanzt.
Ich nehme an und hoffe doch auch sehr stark es wird wohl die 2.
Variante zutreffen, ansonsten wäre das doch ein recht großes
Sicherheitsproblem...
Andreas
2013/3/19 Lentes, Bernd
Bernd schrieb:
Hi,
ich habe hier ein ziemlich seltsames Phänomen: ich habe eine VM neu installiert. Die VM hat bereits existiert, ich habe die vorhandenen Partitionen (zwei primäre und ein LV) übernommen, aber neu formatiert. Dann habe ich das OS (SLES 11 SP2 64bit) installiert. Als ich mich anschließend von einem anderen host per ssh mit der VM verbundenen habe, habe ich mich schon gewundert, wieso der neue ssh-host key nicht angemeckert wird. Also habe ich mal aus dem backup _vor_ der Neuinstallation alle hostkeys aus /etc/ssh zurückgespielt. Die sind mit den jetzt vorhandenen identisch ! Habe mit md5sum geprüft. Wie kann das sein ? Ich dachte, die werden bei jeder Installation neu erzeugt. Und das alle zufällig gleich sind, ist absolut unwahrscheinlich. Oder sind irgendwie die vorhandenen, trotz Neuinstallation mit Formatierung, übernommen worden ? Gibt es irgendwo logs der Installation, aus denen man erkennen kann, was das setup gemacht hat ?
ich habe noch 2x installiert, in beiden Fällen entsprachen die keys denen _vor_ der Formatierung der Platte. Manuell mit ssh-keygen erzeugte hostkeys unterschieden sich von denen vor der Formatierung. Heißt das jetzt, daß a) Die keys immer wieder identisch erzeugt werden oder b) die keys von der angeblich formatierten Platte übernommen werden ?
Bernd
Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 19.03.2013 19:19, schrieb Lentes, Bernd:
Bernd schrieb:
Hi,
ich habe hier ein ziemlich seltsames Phänomen: ich habe eine VM neu installiert. Die VM hat bereits existiert, ich habe die vorhandenen Partitionen (zwei primäre und ein LV) übernommen, aber neu formatiert. Dann habe ich das OS (SLES 11 SP2 64bit) installiert. Als ich mich anschließend von einem anderen host per ssh mit der VM verbundenen habe, habe ich mich schon gewundert, wieso der neue ssh-host key nicht angemeckert wird. Also habe ich mal aus dem backup _vor_ der Neuinstallation alle hostkeys aus /etc/ssh zurückgespielt. Die sind mit den jetzt vorhandenen identisch ! Habe mit md5sum geprüft. Wie kann das sein ? Ich dachte, die werden bei jeder Installation neu erzeugt. Und das alle zufällig gleich sind, ist absolut unwahrscheinlich. Oder sind irgendwie die vorhandenen, trotz Neuinstallation mit Formatierung, übernommen worden ? Gibt es irgendwo logs der Installation, aus denen man erkennen kann, was das setup gemacht hat ?
ich habe noch 2x installiert, in beiden Fällen entsprachen die keys denen _vor_ der Formatierung der Platte. Manuell mit ssh-keygen erzeugte hostkeys unterschieden sich von denen vor der Formatierung. Heißt das jetzt, daß a) Die keys immer wieder identisch erzeugt werden oder b) die keys von der angeblich formatierten Platte übernommen werden ?
Bernd
Hi, AFAIK werden die hostkeys aus Daten der HW erzeugt und sind damit für einen identischen Rechner und eine identische Installation gleich. Kann sein, dass da ein random-Anteil dabei ist, aber auch Zufallsfunktionen können vielleicht unter gleichen Startbedingungen immer gleiche Werte liefern (IMHO wird deshalb beim shutdown ein Wert für den Stand des Random-Generators gespeichert, damit beim Booten dort weitergemacht wird und nicht bei jedem Booten mit dem gleichen Startwert angefangen wird). Ich kann mir definitiv nicht vorstellen, dass "alte" Keys wieder eingelesen werden (können), woher soll der Installer wissen, wo die liegen. Schon gar nicht bei einer formatierten Platte. DAS wäre ein Sicherheitsproblem! Hostkeys sollen ja gerade sicherstellen, dass die Hardware - und damit die Maschine, die sich bei Dir anmeldet - die richtige ist. Insoweit ist es nicht unlogisch, dass eine identische Maschine den gleichen Hostkey wieder bekommt. Vorhersagbar sind sie damit aber wohl nur, wenn jemand Deinen PC exakt kennt... und der hätte vielleicht auch andere Angriffsmöglichkeiten, als Hostkey-Fake... Wenn Du mehr Sicherheit brauchst, generier die Dinger selbst, der Installer will ja nur dafür sorgen, dass Du einen hast, wenn Du es vergisst... AFAIK: Feature, not bug... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Jörg schrieb:
Hi,
AFAIK werden die hostkeys aus Daten der HW erzeugt und sind damit für einen identischen Rechner und eine identische Installation gleich. Kann sein, dass da ein random-Anteil dabei ist, aber auch Zufallsfunktionen können vielleicht unter gleichen Startbedingungen immer gleiche Werte liefern (IMHO wird deshalb beim shutdown ein Wert für den Stand des Random-Generators gespeichert, damit beim Booten dort weitergemacht wird und nicht bei jedem Booten mit dem gleichen Startwert angefangen wird).
Ich kann mir definitiv nicht vorstellen, dass "alte" Keys wieder eingelesen werden (können), woher soll der Installer wissen, wo die liegen. Schon gar nicht bei einer formatierten Platte. DAS wäre ein Sicherheitsproblem!
Hostkeys sollen ja gerade sicherstellen, dass die Hardware - und damit die Maschine, die sich bei Dir anmeldet - die richtige ist. Insoweit ist es nicht unlogisch, dass eine identische Maschine den gleichen Hostkey wieder bekommt. Vorhersagbar sind sie damit aber wohl nur, wenn jemand Deinen PC exakt kennt... und der hätte vielleicht auch andere Angriffsmöglichkeiten, als Hostkey-Fake...
Hi, hab's jetzt ausprobiert: Platte mit dd komplett genullt, Neuinstallation, NEUE hostkeys. Man sieht beim Starten des sshd auch, wie die keys generiert werden. Bei den vorherigen Versuchen hat man das nicht gesehen. D.h. es gibt keinen bug im Installer und es werden trotz identischer Konfiguration der VM _nicht_ die gleichen keys generiert. Hätte mich auch sehr gewundert. Ich nehme mal an, daß da in die Berechnung der keys mindestens Uhrzeit und Datum einfließt, es also wohl ziemlich schwierig wird, identische keys zu erstellen. Das bedeutet aber im Umkehrschluß, das es a) dem sshd wohl irgendwie gelungen ist, die alten keys zu regenerieren und/oder b) das Formatieren der Partitionen nicht wirklich formatiert. Beides irgendwie keine schönen Szenarios. Würde das gerne mal auf der ssh-ML posten, finde aber nicht die aktuelle. Unter openssh.org wird auf ein Archiv verlinkt (http://marc.info/?l=secure-shell&r=1&w=2), das mit Juni 2011 endet. Wisst Ihr wo ich die aktuelle ML finde ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Bernd schrieb:
Hi,
AFAIK werden die hostkeys aus Daten der HW erzeugt und sind damit für einen identischen Rechner und eine identische Installation gleich. Kann sein, dass da ein random-Anteil dabei ist, aber auch Zufallsfunktionen können vielleicht unter gleichen Startbedingungen immer gleiche Werte liefern (IMHO wird deshalb beim shutdown ein Wert für den Stand des Random-Generators gespeichert, damit beim Booten dort weitergemacht wird und nicht bei jedem Booten mit dem gleichen Startwert angefangen wird).
Ich kann mir definitiv nicht vorstellen, dass "alte" Keys wieder eingelesen werden (können), woher soll der Installer wissen, wo die liegen. Schon gar nicht bei einer formatierten Platte. DAS wäre ein Sicherheitsproblem!
Hostkeys sollen ja gerade sicherstellen, dass die Hardware - und damit die Maschine, die sich bei Dir anmeldet - die richtige ist. Insoweit ist es nicht unlogisch, dass eine identische Maschine den gleichen Hostkey wieder bekommt. Vorhersagbar sind sie damit aber wohl nur, wenn jemand Deinen PC exakt kennt... und der hätte vielleicht auch andere Angriffsmöglichkeiten, als Hostkey-Fake...
Hi,
hab's jetzt ausprobiert: Platte mit dd komplett genullt, Neuinstallation, NEUE hostkeys. Man sieht beim Starten des sshd auch, wie die keys generiert werden. Bei den vorherigen Versuchen hat man das nicht gesehen. D.h. es gibt keinen bug im Installer und es werden trotz identischer Konfiguration der VM _nicht_ die gleichen keys generiert. Hätte mich auch sehr gewundert. Ich nehme mal an, daß da in die Berechnung der keys mindestens Uhrzeit und Datum einfließt, es also wohl ziemlich schwierig wird, identische keys zu erstellen. Das bedeutet aber im Umkehrschluß, das es a) dem sshd wohl irgendwie gelungen ist, die alten keys zu regenerieren und/oder b) das Formatieren der Partitionen nicht wirklich formatiert.
Anm.: das Formatieren während der Installation.
Beides irgendwie keine schönen Szenarios. Würde das gerne mal auf der ssh-ML posten, finde aber nicht die aktuelle. Unter openssh.org wird auf ein Archiv verlinkt (http://marc.info/?l=secure-shell&r=1&w=2), das mit Juni 2011 endet. Wisst Ihr wo ich die aktuelle ML finde ?
Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 20.03.2013 13:45, schrieb Lentes, Bernd: ...
a) dem sshd wohl irgendwie gelungen ist, die alten keys zu regenerieren und/oder b) das Formatieren der Partitionen nicht wirklich formatiert.
Anm.: das Formatieren während der Installation.
Vielleicht möchte der Installer einfach nur hilfreich sein? Bis er zu dieser Stelle kommst, hat er ja wenigstens festgestellt, ob und was auf der Maschine installiert ist - und dabei für dich die alten Hostkeys gerettet. In den meisten Fällen ist das ja gar nicht mal so blöd, wenn man nämlich eine vorhandene Maschine mit gleichem Namen neu installiert und selber nicht dran gedacht hat, die Hostkeys zu retten. -- Viele Grüße ------------------------------------------------------------------------ Michael ------------------------------------------------------------------------ ________________________________________________________________________ PROSTEP AG, Dolivostraße 11, D-64293 Darmstadt HR: Amtsgericht Darmstadt, HRB 8383 Vorstand: Dr. Bernd Pätzold (Vorsitz), Reinhard Betz Aufsichtsrat: Dr. Heinz-Gerd Lehnhoff (Vorsitz) ________________________________________________________________________ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Michael schrieb:
-----Original Message----- From: Michael Behrens [mailto:behrens@prostep.com] Sent: Wednesday, March 20, 2013 2:18 PM To: opensuse-de@opensuse.org Subject: Re: [bulk]: RE: ssh hostkey unverändert trotz Neuinstallation !?!
Am 20.03.2013 13:45, schrieb Lentes, Bernd: ...
a) dem sshd wohl irgendwie gelungen ist, die alten keys zu regenerieren und/oder b) das Formatieren der Partitionen nicht wirklich formatiert.
Anm.: das Formatieren während der Installation.
Vielleicht möchte der Installer einfach nur hilfreich sein? Bis er zu dieser Stelle kommst, hat er ja wenigstens festgestellt, ob und was auf der Maschine installiert ist - und dabei für dich die alten Hostkeys gerettet. In den meisten Fällen ist das ja gar nicht mal so blöd, wenn man nämlich eine vorhandene Maschine mit gleichem Namen neu installiert und selber nicht dran gedacht hat, die Hostkeys zu retten.
--
Hi, Betriebssysteme die meinen, für mich mitdenken zu müssen ("Er hat das bestimmt nicht gewollt, er will das oder dies, er könnte jenes gemeint haben ...") sind nicht so mein Ding. Wenn ich eine Festplatte formatiere, dann weil ich erwarte, daß die Daten anschließend gelöscht sind. Darüber sind keine Interpretationen anzustellen. Weiß ich denn, ob er nicht noch mehr gespeichert hat, weil er kristallkugelmäßig glaubt, mein Vorgehen irgendwie deuten zu müssen ? Wenn ich später merke, daß ich dabei die hostkeys verloren habe, dann habe ich halt einen Bock geschossen. Wobei i.d.R. ein ordentliches backup bei dieser Art von Problemen sehr hilfreich sein kann. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mittwoch, 20. März 2013, 13:27:26 schrieb Lentes, Bernd:
Würde das gerne mal auf der ssh-ML posten, finde aber nicht die aktuelle. Unter openssh.org wird auf ein Archiv verlinkt (http://marc.info/?l=secure-shell&r=1&w=2), das mit Juni 2011 endet. Wisst Ihr wo ich die aktuelle ML finde ?
Gibst du uns hier Rückmeldung, wenn du was zu dem Thema auf der ML erfährst? Ist doch nicht ganz uninteressant diese Thematik. -- Grüße, Michael
Michael schrieb:
Subject: Re: ssh hostkey unverändert trotz Neuinstallation !?!
Am Mittwoch, 20. März 2013, 13:27:26 schrieb Lentes, Bernd:
Würde das gerne mal auf der ssh-ML posten, finde aber nicht die aktuelle. Unter openssh.org wird auf ein Archiv verlinkt (http://marc.info/?l=secure-shell&r=1&w=2), das mit Juni 2011 endet. Wisst Ihr wo ich die aktuelle ML finde ?
Gibst du uns hier Rückmeldung, wenn du was zu dem Thema auf der ML erfährst? Ist doch nicht ganz uninteressant diese Thematik.
-- Grüße, Michael
Hi, die ML habe ich nicht gefunden. Habe deswegen hier gepostet: https://groups.google.com/d/msg/comp.security.ssh/vUu9Y_v7jUI/N26KDid875MJ Wer mag, kann es ja da verfolgen. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Michael schrieb:
Subject: Re: ssh hostkey unverändert trotz Neuinstallation !?!
Am Mittwoch, 20. März 2013, 13:27:26 schrieb Lentes, Bernd:
Würde das gerne mal auf der ssh-ML posten, finde aber nicht die aktuelle. Unter openssh.org wird auf ein Archiv verlinkt (http://marc.info/?l=secure-shell&r=1&w=2), das mit Juni 2011 endet. Wisst Ihr wo ich die aktuelle ML finde ?
Gibst du uns hier Rückmeldung, wenn du was zu dem Thema auf der ML erfährst? Ist doch nicht ganz uninteressant diese Thematik.
-- Grüße, Michael
Hi, es ist ein "feature" von yast. Die host-keys werden vor dem Formattieren gesichert und bei der anschließenden Neuinstallation wieder ins System kopiert ! Gut dies zu wissen. Nähere Infos hier: https://forums.suse.com/showthread.php?2565-ssh-host-keys-kept-despite-of-fr... Frohe Ostern ! Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Andreas Hoffmann -
Joerg Thuemmler -
Lentes, Bernd -
Michael Behrens -
Michael Skiba