Debian & Ubuntu serverägare

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-13 19:17

Permalänk

kabniel

Medlem

Plats: ~
Registrerad: Apr 2003

●

Illa, tydligen var det en patch från Debian för redan 2 år sen som stängde av seedningen av slumptal, så jag antar att alla nycklar som skapats innan uppdateringen borde bytas ut med nya nycklar.

Visa signatur

Debian forums || libre.fm

Rapportera Redigera

Citera flera Citera

2008-05-13 19:26

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Yup, kollade även Debians notis

"It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch."

http://lists.debian.org/debian-security-announce/2008/msg0015...

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-13 22:30

Permalänk

KentRoyal

Medlem

Plats: Jönköping
Registrerad: Mar 2002

●

Vad jag kan se är inte Ubuntu 6.10 drabbat.
Stämmer det?

Visa signatur

"Knowledge amplification. What he learns, we all learn. What he knows, we all benefit from."

Rapportera Redigera

Citera flera Citera

2008-05-13 23:12

Permalänk

kabniel

Medlem

Plats: ~
Registrerad: Apr 2003

●

Citat:

Ursprungligen inskrivet av KentRoyal
Vad jag kan se är inte Ubuntu 6.10 drabbat.
Stämmer det?

Iso-filerna innehåller 0.9.8b-2 vilket är innan den dåliga patchen lades till, så det borde inte vara drabbat, så länge ingen uppdatering har innehållit en senare version.

http://old-releases.ubuntu.com/releases/6.10/ubuntu-6.10-alte...

Visa signatur

Debian forums || libre.fm

Rapportera Redigera

Citera flera Citera

2008-05-13 23:26

Permalänk

Benkaboy

Medlem

Plats: Linköping
Registrerad: Okt 2005

●

Hur kan man se vilken OpenSSL version man har ?

Är lite skrajj för att uppdatera igen, samba flippade ju ur totalt vid förra ordentliga uppdateringen från 7.10 till 8.04. Får ta det imorn när jag vaknat, klarar inte av att gå och lägga mig med en server som krånglar.

Rapportera Redigera

Citera flera Citera

2008-05-13 23:38

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Du har fel version....

Men kör du 7.10 ska det finnas en uppdatering, bara att köra en sväng.

-------------------------------------------------------

Debians paket
http://packages.debian.org/search?keywords=openssl&searchon=a...

Ubuntus
http://packages.ubuntu.com/search?suite=default&section=all&a...

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-13 23:42

Permalänk

Benkaboy

Medlem

Plats: Linköping
Registrerad: Okt 2005

●

Så med andra ord måste jag göra en "sudo apt-get update && sudo apt-get upgrade" om jag kör 8.04 på servern?

Rapportera Redigera

Citera flera Citera

2008-05-13 23:45

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Citat:

Ursprungligen inskrivet av Benkaboy
Så med andra ord måste jag göra en "sudo apt-get update && sudo apt-get upgrade" om jag kör 8.04 på servern?

Ja alla serverversioner har uppdaterade paket, förutom de som kör tidigare än c-versionen.

Bara att uppdatera och byta nycklar.

Byta nycklar vete tusan hur man gör smartast, det finns en mapp /.ssh där de ligger

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-13 23:55

Permalänk

Benkaboy

Medlem

Plats: Linköping
Registrerad: Okt 2005

●

baah byta nyklar låter tråkigt.. skit oxå! ska man behöva trilskas med det här! men varför ska man byta nycklar i ssh? vilka nycklar? :S -_-

Rapportera Redigera

Citera flera Citera

2008-05-13 23:59

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Under /.ssh mappen ligger det en fil, known_hosts med nycklar

1:a gången man kopplar upp sig med ssh så fär man svara Yes/No

Kan vara dom man menar ? För trött för att kolla

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-14 00:01

Permalänk

Benkaboy

Medlem

Plats: Linköping
Registrerad: Okt 2005

●

Aha, det! *phew* bara att bort filerna alltså?

Stod det inte nåt om SSL oxå? nåt genererat av x509 bla bla etc? eller räcker det med en update och ta bort ssh nissarna?

Rapportera Redigera

Citera flera Citera

2008-05-14 00:49

Permalänk

e5150

Medlem

Plats: Umeå
Registrerad: Nov 2004

●

Citat:

Ursprungligen inskrivet av plunn
Under /.ssh mappen ligger det en fil, known_hosts med nycklar

1:a gången man kopplar upp sig med ssh så fär man svara Yes/No

Kan vara dom man menar ? För trött för att kolla

known_hosts har ju bara med klienten att göra, nycklarna måste regeneras på servern (ssh-keygen -t <typ> ....), vilket lär göras automatiskt ifall de gamla nycklarna tagits bort (defaultar till /etc/ssh/ssh_host*key* i slackware, lär ju vara nåt liknande i debian).
sen får klienterna omvalidera nycklarna nästa gång man kopplar upp sig mot sshd'n

Rapportera Redigera

Citera flera Citera

2008-05-14 01:58

Permalänk

Benkaboy

Medlem

Plats: Linköping
Registrerad: Okt 2005

●

Ok, att "nollställa" ssh nycklarna verkar ju vara piece of a cake men när man har fixat sig ett ssl cerifikat med x509 som det står om i ubuntuartikeln, hur gör man då för att nollställa dem?

har använt denna kodslinga:

openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem

Rapportera Redigera

Citera flera Citera

2008-05-14 02:08

Permalänk

kabniel

Medlem

Plats: ~
Registrerad: Apr 2003

●

How to regenerate new SSH keys

Jag körde:

ssh-keygen -f /etc/ssh/ssh_host_rsa_key -N '' -t rsa
ssh-keygen -f /etc/ssh/ssh_host_dsa_key -N '' -t dsa

på servern, sen raderade jag /home/användarnamn/.ssh/known_hosts på klientdatorn.
Sen får man frågan om man vill lägga till den nya nyckeln till known hosts nästa gång man kopplar upp klienten mot servern.

Visa signatur

Debian forums || libre.fm

Rapportera Redigera

Citera flera Citera

2008-05-14 09:43

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Det kom en till notis lite senare angående OpenSSH

http://www.ubuntu.com/usn/usn-612-2

I den fixen så startar då Debconf under installtion och man rensar sina nycklar.

$ ssh-vulnkey
To check all keys on your system:

$ sudo ssh-vulnkey -a
To check a key in a non-standard location:

$ ssh-vulnkey /path/to/key
If ssh-vulnkey says "COMPROMISED", the key is vulnerable and should be replaced. If ssh-vulnkey says "Unknown (no blacklist information)", then it has no information about whether that key is affected because the key is of a type for which no blacklist is available. If in doubt, destroy the key and generate a new one.

Osv enligt säkerhetsnotisen.

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-14 16:28

Permalänk

Benkaboy

Medlem

Plats: Linköping
Registrerad: Okt 2005

●

Jag gjorde en sudo apt-get update && upgrade idag. Fick hem det som anges i artikeln. Gjorde kabinel beskrev och fick acceptera på nytt när jag reconnecta med ssh. Dock kommer jag inte in i min personliga mapp i /home, jag redirectas bara tillbaka.

sudo ssh-vulnkey fungerar inte för mig, command not found får jag som svar.

Åter SSL. Min proftpd har ju ett ssl certifikat man måste acceptera innan man använder den. Detta skapades innan detta hål upptäckts. Måste jag göra om SSL certifikatet på något sätt eller krypteringen för ftp'n över huvud taget i och med detta?

Rapportera Redigera

Citera flera Citera

2008-05-14 16:38

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Det kom 2 till notiser inkl uppdateringar idag. se 1:a inlägget.

Testkommandot kom med någon av dom

plun@dunder:~$ ssh-vulnkey
Not blacklisted: 2048 f9:24:fd:14:93:b1:11:11:11:11:41:8c:11:11:53:11 /etc/ssh/ssh_host_rsa_key
Not blacklisted: 1024 23:05:dd:b4:b3:11:11:11:11:9b:ab:77:11:11:59:11 /etc/ssh/ssh_host_dsa_key

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-14 16:47

Permalänk

Benkaboy

Medlem

Plats: Linköping
Registrerad: Okt 2005

●

Ojoj!! Jag som sitter på jobbet! Vill kolla! Nästan så man vill ringa hem till sambon och be henne starta burken, vill dock minnas att jag hade problem att komma åt den härifrån.

Återigen ssl och ftp'n, något jag måste vidta åtgärd för ?

Rapportera Redigera

Citera flera Citera

2008-05-14 17:24

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Nej jag håller på och fipplar med min eget skrälle

Bedrövligt o uselt... den svenska servern ligger efter

Skiftar man till "Main" blir det OK dvs tar bort se. i /etc/apt/sources.list

Följande paket har hållits tillbaka:
openssh-client openssh-server
Följande paket kommer att uppgraderas:
libssl0.9.8 ssh update-manager-core
3 uppgraderade, 0 nyinstallerade, 0 att ta bort och 2 ej uppgraderade.
Behöver hämta 2866kB arkiv.

Ska se vart jag landar.... Ska också felanmäla det Svenska serveriet...

https://launchpad.net/ubuntu/+archivemirrors

1 vecka efter....

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-14 19:53

Permalänk

helino

Medlem

Plats: Stockholm
Registrerad: Apr 2005

●

Jag förstår att det här är allvarligt, men jag fattar inte om jag är drabbad? Jag använder inga nycklar när jag ansluter, jag skriver in lösenord för den användare som jag loggar in med...

Jag testade också köra ssh-vulnkey, och det funkade inte, även efter att jag installerat den nya uppdateringen

Visa signatur

AMD Athlon 64 3200+ // Asus K8V-VM // 1 GB DDR 400 // Asus EN7600 GS // Soundblaster Live! // FSP 350W // Ubuntu 9.10
MacBook 13,3 // 2.2 GHz Core 2 Duo // 4 GB DDR2 667 // 120 GB HDD // Intel GMA X3100 // Mac OS X 10.6
HP e-PC 42 // P4 1,7 Ghz // 512MB SDRAM // 500 GB HDD // Ubuntu Server 8.04

Rapportera Redigera

Citera flera Citera

2008-05-14 20:04

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Lite komplicerat det här, har "tjötat" med Ubuntu serverfolket på IRC...

Säkerhetsfixar ska komma direkt från security.ubuntu.com

Om man kollar /etc/apt/sources.list så är det nog ett se. före alla adresser, hade jag iaf
och flera andra på IRC , se. kan man ta bort så hamnar man på "main". Förmodad bug
som kollas just nu.

Den svenska servern ligger efter tidsmässigt.

Nu skulle de visst fixa med paketen om det gick att kicka till dom.....

För att få fram alla uppdateringar så måste jag installera openssh-blacklist
sen funkade allting. Skulle också fixas.

Sen fick jag pakethaveri som löstes med sudo dpkg --reconfigure -a

Fram med tangentbord o skärm till burkskrället.....:)

"Slit o släp"...

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-15 11:06

Permalänk

Benkaboy

Medlem

Plats: Linköping
Registrerad: Okt 2005

●

Whey, efter att ha gjort som du skrev plunn så kan jag oxå kolla och mina var "not blacklisted"! Iof sig har jag bytt nyklar men det var ju bra hur som helst.

Riktigt nice att du skriver ner alla nödvändiga steg här!!

Rapportera Redigera

Citera flera Citera

2008-05-15 21:11

Permalänk

cable_guy6

Medlem

Plats: Göteborg
Registrerad: Aug 2003

●

Citat:

Ursprungligen inskrivet av plunn
Följande paket har hållits tillbaka:
openssh-client openssh-server
Följande paket kommer att uppgraderas:
libssl0.9.8 ssh update-manager-core
3 uppgraderade, 0 nyinstallerade, 0 att ta bort och 2 ej uppgraderade.
Behöver hämta 2866kB arkiv.

Varför håller den tillbaka på openssh?

Visa signatur

I don't want to be human! I want to see gamma rays! I want to hear X-rays! And I want to - I want to smell dark matter!

Rapportera Redigera

Citera flera Citera

2008-05-15 21:15

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Citat:

Ursprungligen inskrivet av cable_guy6
Varför håller den tillbaka på openssh?

Det var paketknas igår förmodligen fixat

Att installera openssh-blacklist löste min knut inkl att jag hade
se. före alla mina repoadresser.

Lång.lång tråd om detta... inkl fler med pakettrubbel.
http://ubuntuforums.org/showthread.php?t=793517

Serverkillarna på IRC tipsade direkt om blacklist filen, borde vara fixat.

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-17 17:55

Permalänk

kabniel

Medlem

Plats: ~
Registrerad: Apr 2003

●

Citat:

Ursprungligen inskrivet av Benkaboy
Återigen ssl och ftp'n, något jag måste vidta åtgärd för ?

Lite sent kanske, men jag kollade runt i Debians wiki och snubblade över det här: http://wiki.debian.org/SSLkeys#head-2963d1ff45980356f07ae01d9...

Visa signatur

Debian forums || libre.fm

Rapportera Redigera

Citera flera Citera

2008-05-22 19:13

Permalänk

plunn

Avstängd

Plats: at home
Registrerad: Nov 2007

●

Kompletterat inlägg No1 med 2 till uppdateringar.

This update also includes the complete RSA-1024 and RSA-2048 blacklists for all Ubuntu architectures, as well as support for other future blacklists for non-standard bit lengths. You can check for weak SSL/TLS certificates by installing openssl-blacklist via your package manager, and using the openssl-vulnkey command.

$ openssl-vulnkey

Kommentarer från världens mer guruförklarade....

http://www.schneier.com/blog/archives/2008/05/random_number_b...

HD Moores metasploit rapport

http://metasploit.com/users/hdm/tools/debian-openssl/

"The toys" känner då alla i crackerkretsar till.....

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Rapportera Redigera

Citera flera Citera

2008-05-22 19:26

Permalänk

Ragin Pig

Medlem ★