Zum Inhalt springen

Linux

Akeem al Harun

Von Akeem al Harun
in Die Differenzmaschine

Empfohlene Beiträge

FrankBlack78

FrankBlack78

Geschrieben
Geschrieben
Nur als Hinweis, wer es nicht mitgekriegt hat (ich hoffe aber, alle machen sowieso brav updates)

Bei Debian sind seit 2006 nahezu alle Schlüssel nicht mehr sicher (openssl/openssh-package) weil die Hirsche den RNG rausgepatcht haben aus den Paketen und somit die Schlüssel maximal 32768 verschiedene Basiswerte haben können und dementsprechend aufgrund fehlenden Random-Seeds vorhersagbar sind. Auf Metasploit gibt's die schon zum runterladen.

Also wer unter einem Debian-Derivat (debian, (k,x,edu)ubuntu, grml, DSL....) einen SSH ins Internet zeigen hat oder andere SSL-basierte Sachen (https, Mail...) sollte wirklich schleunigst upgraden und dabei alle alten Schlüssel wegwerfen und neu generieren, so noch nicht geschehen.

Ach? Und das merken die tatsächlich JETZT schon? :dozingoff:

This is madness...

 

Gruß

Frank

 

P.S. Das erklärt die ganzen SSH/SSL-Updates :after:

Link zu diesem Kommentar
  • Antworten 591
  • Erstellt
  • Letzte Antwort

Top-Benutzer in diesem Thema

Aktive Tage

Top-Benutzer in diesem Thema

Aktive Tage

Beliebte Beiträge

Randver MacBeorn
Randver MacBeorn

Für alle Ubuntu-Nutzer (und solche, die es werden wollen): Ubuntu 20.04 erscheint heute Abend! Ubuntu 20.04: LTS-Version mit behutsamen Neuerungen | heise online https://heise.de/-4707756

Veröffentlichte Bilder

Meeresdruide

Meeresdruide

Geschrieben
Geschrieben
Also wer unter einem Debian-Derivat (debian, (k,x,edu)ubuntu, grml, DSL....) einen SSH ins Internet zeigen hat oder andere SSL-basierte Sachen (https, Mail...) sollte wirklich schleunigst upgraden und dabei alle alten Schlüssel wegwerfen und neu generieren, so noch nicht geschehen.

Wichtig ist vor allem, die verwundbaren Schlüssel aus der ~/.ssh/authorized_keys zu löschen. Denn so etwas hat zur Folge, dass der Rechner übernommen werden kann – vor allem, wenn man so an einen root-Login kommt. Es gibt bestimmt schon Programme, die nach so verwundbaren Hosts suchen und sie zu W4r3z-Servern umbauen.

 

Ein schwacher Schlüssel bei SSL-Servern oder bei OpenVPN hat dagegen "nur" zur Folge, dass die Verbindung abgehört werden kann. Aber um etwas damit anfangen zu können braucht man (a) Zugang zum Datenstrom und (b) muss man lange suchen, bis man etwas verwertbares wie ein Passwort findet. Das Risiko ist also um Größenordnungen geringer.

Link zu diesem Kommentar
  • 2 Wochen später...
Nixonian

Nixonian

Geschrieben
Geschrieben

Sachen, bei denen man als root aufpassen muß: Bei einem "rm" sollte man darauf achten, daß zwischen der wildcard und dem, woran man es ranhängen will, kein space ist....

 

root@heartofgold:/etc/init.d# ls
acpid         console-screen.sh  hwclock.sh                       mountnfs-bootclean.sh  README                ufw
acpi-support  console-setup      kde-guidance                     mountoverflowtmp       reboot                umountfs
alsa-utils    cron               kdm                              mtab.sh                rmnologin             umountnfs.sh
anacron       cryptdisks         keyboard-setup                   networking             rsync                 umountroot
apmd          cryptdisks-early   killprocs                        nvidia-kernel          screen-cleanup        urandom
apparmor      cupsys             klogd                            pcmciautils            sendsigs              usplash
apport        dbus               laptop-mode                      policykit              single                vbesave
atd           dhcdbd             libpam-foreground                powernowd              skeleton              vboxdrv
avahi-daemon  dirmngr            linux-restricted-modules-common  powernowd.early        ssh                   vboxnet
bluetooth     dns-clean          loopback                         pppd-dns               stop-bootlogd         waitnfs.sh
bootclean     glibc.sh           makedev                          procps                 stop-bootlogd-single  wpa-ifupdown
bootlogd      hal                module-init-tools                rc                     stop-readahead        x11-common
bootmisc.sh   halt               mountall-bootclean.sh            rc.local               sysklogd              xserver-xorg-input-wacom
brltty        hostname.sh        mountall.sh                      rcS                    sysstat
checkfs.sh    hotkey-setup       mountdevsubfs.sh                 readahead              udev
checkroot.sh  hwclockfirst.sh    mountkernfs.sh                   readahead-desktop      udev-finish
root@heartofgold:/etc/init.d# rm vbox *
rm: Entfernen von „vbox“ nicht möglich: No such file or directory
root@heartofgold:/etc/init.d# rm vbox*
rm: Entfernen von „vbox*“ nicht möglich: No such file or directory
root@heartofgold:/etc/init.d# ls
root@heartofgold:/etc/init.d#

 

*seufz* :hjhatschonwiederwas

Link zu diesem Kommentar
Nixonian

Nixonian

Geschrieben
Geschrieben
Nope, leider keine Ausrede, außer "nicht aufgepaßt".

 

Ich meinte als Trost...

 

Ach so... so schlimm war es nicht, wenn man eine andere Installation hat, wo man die init-scripte einfach per scp rüberziehen kann. Ich laß mich überraschen, ob die Kiste morgen wieder bootet ;)

Link zu diesem Kommentar
daraubasbua

daraubasbua

Geschrieben
Geschrieben
Nope, leider keine Ausrede, außer "nicht aufgepaßt".

 

Ich meinte als Trost...

 

Ach so... so schlimm war es nicht, wenn man eine andere Installation hat, wo man die init-scripte einfach per scp rüberziehen kann. Ich laß mich überraschen, ob die Kiste morgen wieder bootet ;)

 

Äh, hättest Du ein aktuelles Backup gehabt ?

Link zu diesem Kommentar
Nixonian

Nixonian

Geschrieben
Geschrieben
Nope, leider keine Ausrede, außer "nicht aufgepaßt".

 

Ich meinte als Trost...

 

Ach so... so schlimm war es nicht, wenn man eine andere Installation hat, wo man die init-scripte einfach per scp rüberziehen kann. Ich laß mich überraschen, ob die Kiste morgen wieder bootet ;)

 

Äh, hättest Du ein aktuelles Backup gehabt ?

Backups? Real men don't need backups. They upload their important stuff on ftp and let the rest of the world mirror it ;)

 

Also ich habe von den Modulskripten nirgends ein backup. Wozu auch? Im Notfall boote ich den mit einer Live-CD neu und ziehe es von dort rüber.

 

Backups gibt es bei mir natürlich nur für Sachen, die ich mir nicht von x anderen Systemen (CD/anderer Rechner/Internet) runterziehen kann, d.h. alle privaten Sachen.

Link zu diesem Kommentar
Ma Kai

Ma Kai

Geschrieben
Geschrieben

Ähm... wenn ich von einer Knoppix-DVD boote (letztens bei der c't dabei), dürfte es mir dann für dd einer SATA-hdd auf eine frische SATA-hdd mangelnde Berechtigung annölen? Und: was ist das root-passwort auf c't-Knoppix-DVDs?

 

(Anmerkung: ich kann ungefähr so viel Unix wie Chinesisch - für'n Bier bzw. ls -l reicht's, aber nicht viel weiter)

Link zu diesem Kommentar
Sulvahir

Sulvahir

Geschrieben
Geschrieben
Ähm... wenn ich von einer Knoppix-DVD boote (letztens bei der c't dabei), dürfte es mir dann für dd einer SATA-hdd auf eine frische SATA-hdd mangelnde Berechtigung annölen?

 

Ja, da du als einfacher Benutzer (knoppix) unterwegs bist.

 

Und: was ist das root-passwort auf c't-Knoppix-DVDs?

 

Ob es unter Knoppix ein root-Passwort gibt weiß ich nicht (ich denke aber eher nicht), aber du findest im Menü irgendwo (ich weiß das jetzt nicht auswendig) den Eintrag "root-shell", womit du automatisch root-Rechte erhälst.

 

bis dann,

Sulvahir

Link zu diesem Kommentar
  • 3 Wochen später...
  • 1 Monat später...
Sulvahir

Sulvahir

Geschrieben
Geschrieben
Hallo,

Eventuell muss ich nächste Woche einen Computer neu installieren und wollte mich mal an ubuntu versuchen. Muss ich dabei auf etwas achten? Wie ist das mit dem Programm für den Zugang zum Internet? Wie kann ich in Erfahrung bringen, ob das kompatibel ist?

 

:grim:

 

Wie verbindest du dich mit dem Internet? Per Modem, ISDN, DSL (evtl. über einen Router)?

 

Normalerweise sollten die Zugangsdaten des Providers reichen.

 

bis dann,

Sulvahir

Link zu diesem Kommentar
malekhamoves

malekhamoves

Geschrieben
Geschrieben
Hallo,

Eventuell muss ich nächste Woche einen Computer neu installieren und wollte mich mal an ubuntu versuchen. Muss ich dabei auf etwas achten? Wie ist das mit dem Programm für den Zugang zum Internet? Wie kann ich in Erfahrung bringen, ob das kompatibel ist?

 

:grim:

 

Wie verbindest du dich mit dem Internet? Per Modem, ISDN, DSL (evtl. über einen Router)?

 

Normalerweise sollten die Zugangsdaten des Providers reichen.

 

bis dann,

Sulvahir

Ich verbinde mich gar nicht, aber ich denke, dass es ein Modem ist, DSL... oder so, ich werde mich mal erkundigen.

 

:grim:

Link zu diesem Kommentar

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
Zur Themenübersicht

  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.
×
×
  • Neu erstellen...