Wir werden in den nächsten Tagen ein Update von OpenSSH auf Port 22 auf Version 7.1 vornehmen. In den aktuellen Versionen von OpenSSH ist DSA standardmäßig deaktiviert und wir werden diese Konfiguration übernehmen, da DSA schon lange als unsicher gilt und uns daher ein Dorn im Auge ist. Solltest du also (immer noch) DSA-Schlüssel für den SSH-Login verwenden, ist es jetzt an der Zeit, diese schnellstmöglich austauschen. Im Wiki beschreiben wir, wie du dir einen RSA-Schlüssel mit 4096 Bit generieren kannst.

Nachdem wir nun drei Monate lang OpenSSH 6.7 getestet haben, sind wir jetzt so mutig und tauschen sshd, der auf Port 22 lauscht, gegen eine aktuelle Version aus: OpenSSH 6.8.

Wir verwenden dabei die folgende Konfiguration:

KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

Netter Nebeneffekt: Wir unterstützten nun ed25519. Alle Hosts haben bereits entsprechende Keys:

HostKey /etc/ssh/ssh_host_ed25519_key

Weiterhin unterstützen wir natürlich noch RSA:

HostKey /etc/ssh/ssh_host_rsa_key

Wir unterstützen kein DSA (mehr) und kein ECDSA. Das Datenblatt ist entsprechend angepasst, hier findet ihr wie gewohnt die Fingerprints. Ebenso werden wir das Host Manifest um die ed25519-Keys erweitern (hier gibt’s dann ein Update im Artikel).

Als wir angefangen haben, alle unsere Uberspace-Hosts mit Ansible zu managen, hat uns etwas genervt: das manuelle Abgleichen von SSH-Fingerprints.

Da dachten wir, man könnte ja mal die Liste der Uberspace-Hosts mit ihren IP-Adressen und SSH-Fingerprints automatisch generieren. Diese kann man nun herunterladen, die Signatur überprüfen und die Liste der bekannten SSH-Hosts übernehmen.

Dies kommt nun auch dir zu Gute; denn so hast du auf einen Schlag alle Uberspace-Hosts vorliegen und kannst dich fröhlich auf jeden davon verbinden – ohne nervige Fingerprint-Abfrage.

Anfang des Monats gab es einen Blogartikel, der sich mit der Sicherheit und Absicherung von OpenSSH beschäftigt. Wir sind häufig angesprochen worden, ob wir die vorgeschlagenen Änderungen nicht auf unseren Hosts umsetzen können, das ist jedoch etwas einfacher gesagt als getan, denn …

[root@andromeda ssh-6.7]# yum list installed | grep openssh | head -n 1
openssh.x86_64                     5.3p1-104.el6_6.1                 @updates

… die OpenSSH-Version von CentOS ist leider etwas betagt und die Änderungen setzen mindestens Version 6.7 voraus. Nun ist SSH aber ein so wichtiges System, dass wir nicht Hals über Kopf (wir lernen ja dazu) alle Zöpfe abschneiden wollen.