Mike Kuketz :mastodon:

OpenSSH: Aktuelle Cipher-Suites für die Konfiguration

kuketz-blog.de/openssh-aktuell

1+
IzzyOnDroid ✅

@kuketzblog Bitte nicht wundern, wenn anschließend SSH beim Verbindungsaufbau meint, der Host-Key hätte sich geändert. Das ist so nicht ganz korrekt: Ihr bekommt nur ggf. einen anderen Key geliefert als zuvor. Nämlich "ssh-host-ed25519" (der einzige noch aktive), statt z.B. "ssh-host-rsa" (Debian/Ubuntu-Default). Einfach mal in "/etc/ssh" nachschauen, da liegen mehrere Keys rum :wink:

Mike: Ist rsa-sha2-512 zu schwach, dass Du ihn rausgeworfen hast? Oder ist das echt Sha-2? Dann autsch, ja.

1
Mike Kuketz :mastodon:

@IzzyOnDroid Ist doch noch drin unter "Host-key algorithms".

1
IzzyOnDroid ✅

@kuketzblog In der Tat. Seltsam. nmap zeigt es aber nicht mehr an:

| server_host_key_algorithms: (1)
| ssh-ed25519

1
Mike Kuketz :mastodon:

@IzzyOnDroid Jetzt wo du es sagst. Auch ssh-audit zeigt es nicht mehr an. Selstsam.

1
IzzyOnDroid ✅

@kuketzblog Des Rätsels Lösung: Alle anderen Parameter waren falsch, die gibt es so nicht. Schau mal mit "ssh -Q key" nach, was unterstützt wird. Dann setze

HostKeyAlgorithms ssh-ed25519,ssh-rsa,ssh-rsa-cert-v01@openssh.com

et voila:

| server_host_key_algorithms: (4)
| ssh-rsa
| rsa-sha2-512
| rsa-sha2-256
| ssh-ed25519

Wobei, warum auch immer, das (nicht) Vorhandensein von "ssh-rsa-cert-v01@openssh.com" keinerlei Unterschied zu machen scheint.

Was meinst Du?

1
Mike Kuketz :mastodon:
Follow

@IzzyOnDroid Waren wohl Irrläufer einer alten Config. Danke für den Hinweis, werde ich korrigieren!

· · 1 · 0 · 0
IzzyOnDroid ✅

@kuketzblog gern – und supi! Kurze Ja/Nein Frage: passt der Parameter so, wie ich ihn jetzt genannt habe? ("Nein" hieße dann, ich muss heute Abend nochmal nachschauen, wie Du ihn angepasst hast).

Interessieren würde mich auch, falls Du es herausfindest, warum "ssh-rsa-cert-v01@openssh.com" scheinbar "ignoriert" wird: "ssh -Q key" nennt ihn – aber ob man ihn setzt, oder in China ein Sack Reis umfällt, scheint auf's gleiche hinaus zu laufen.

1
Mike Kuketz :mastodon:

@IzzyOnDroid Ich habe es jetzt so gesetzt: kuketz-blog.de/openssh-aktuell

Also:
HostKeyAlgorithms ssh-ed25519,ssh-rsa

1
IzzyOnDroid ✅

@kuketzblog Danke! Also den "Sack Reis" einfach weg gelassen 🤣 Ja, schaut gut aus jetzt.

Danke für das Heads-Up! Man vergisst so leicht, wo man noch überall schauen müsste. Als nächstes wäre da bei mir noch Dovecot, da gilt es nach 4 Jahren sicher auch wieder, die Cipher-Suiten anzupassen…

1
Mike Kuketz :mastodon:

@IzzyOnDroid Jup. Da kann man auch anpassen. ;-)

0
Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!

Trending now

Resources

Developers

What is Mastodon?

social.tchncs.de

More…

v3.5.3 · Privacy policy