/ updates

Kuck mal, wer da hört - OpenSSH 6.7

Anfang des Monats gab es einen Blogartikel, der sich mit der Sicherheit und Absicherung von OpenSSH beschäftigt. Wir sind häufig angesprochen worden, ob wir die vorgeschlagenen Änderungen nicht auf unseren Hosts umsetzen können, das ist jedoch etwas einfacher gesagt als getan, denn ...

[root@andromeda ssh-6.7]# yum list installed | grep openssh | head -n 1
openssh.x86_64                     5.3p1-104.el6_6.1                 @updates

... die OpenSSH-Version von CentOS ist leider etwas betagt und die Änderungen setzen mindestens Version 6.7 voraus. Nun ist SSH aber ein so wichtiges System, dass wir nicht Hals über Kopf (wir lernen ja dazu) alle Zöpfe abschneiden wollen.

Auf Port 22 lauscht also wie gewohnt die gut abgehangene Version 5.3, neu dazu kommt auf Port 4022 Version 6.7 mit folgender Konfiguration:

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# https://stribika.github.io/2015/01/04/secure-secure-shell.html
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com`

Netter Nebeneffekt: Es gibt neue Algorithmen - ECDSA und Ed25519. Alle Hosts haben bereits entsprechende Keys:

HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

Viel Spaß beim Testen, Erfahrungen bitte per Twitter oder Mail.