Názory k článku
OpenSSH 8.8 vypíná podporu protokolu ssh-rsa
-
Filip JirsákStříbrný podporovatelKolik takových zařízení máte, která opravdu nepodporují nic jiného, než RSA/SHA1? Jinak v OpenSSH klientovi můžete podporu RSA/SHA1 pro konkrétní hostname povolit. S čím tedy máte problém?
-
Záleží na počtu? I kdyby to bylo jen jedno zařízení. které potřebujete spravovat, bude otrava muset přejít na holý telnet. (Navíc v zájmu pokroku a zvyšování bezpečnosti!)
Já třeba mám asi deset switchů, na něž se už teď bez "PubkeyAcceptedAlgorithms +ssh-rsa" nepřipojím (plus domácí router s aktuálním OpenWRT, ale tam by to měl vyřešit upgrade na nové vydání, které snad bude v horizontu měsíců k použití). To je s OpenSSH klientem 8.6 na Fedoře. Zprávička mě tedy celkem vyděsila, protože jsem nabyl dojmu, že od 8.8 bude podpora vypnuta úplně. Zdá se ale, že tomu tak není, asi jen Fedora trochu předbíhá dobu a od 8.8 se to bude stejně chovat všem.
-
Filip JirsákStříbrný podporovatel
Ano, záleží na počtu – pokud to bude 0, není potřeba to řešit. Místo přecházení na telnet si zkuste přečíst druhou větu mého komentáře, bude to jednodušší.
-
Filip JirsákStříbrný podporovatel
To teda Ubiquity moc nezvládlo. Tak holt nezbývá, než v OpenSSH klientovi pro ta zařízení ssh-rsa povolit.
-
Jan HrachStříbrný podporovatelVypadá to, že je to všude, kde se používá dropbear. Například dropbear v OpenWrt 19.07 (tj. v podstatě aktuální, verze 21.02 byla vydána teprve na začátku září) taky neumí :-(.
-
-
msmucrBronzový podporovatel
@Lol Phirae
Ta zprávička má lehce clickbaitový titulek - nový release vypíná podporu jen ve výchozím stavu, ale dá se pořád explicitně zapnout. Je to úplně stejně jako třeba předtím starý dh kex s sha1, který byl takhle vypnut už v předchozích releasech openssh.
Takže buď per host v .ssh/config, nebo přes parametr -o při volání příkazu ssh. V tom druhém případě si samozřejmě můžete udělat třeba alias v shellu (já to mám třeba jako ssh-leg, když se potřebuji připojovat k takovýmto neaktualizovaným hostům).A samozřejmě těch možností je víc, jak tu už zaznělo. Třeba putty resp. plink z shellu tyhle legacy algoritmy pořád podporuje bez vynucování, podobně jako zastaralý protokol ssh v1.
Jinak ty Ubiquity prvky a firmwary do detailu neznám, ale fakt to nepodporuje ani ecdsa? To bylo v Dropbearu přidané tak někdy na konci roku 2013.
Není třeba jen ručně přegenerovat host klíče s odpovídajícími parametry? -
L.Stříbrný podporovatel
Dobrý den, jsem tu správně v diskusi správců technického muzea, oddělení IT?
-
Jan HrachStříbrný podporovatel
To záleží, jestli poradíš, jak to vyřešit v OpenWrt 19.07, což mi moc muzeální nepřijde. Funguje to vůbec v OpenWRT 21.02?
-
k3dARStříbrný podporovatelkoukam ze uz v 17.01 to slo zapnout pri rekompilaci dropbear balicku:
https://bugs.openwrt.org/index.php?do=details&task_id=786v 21.02 uz je soucasti vychoziho dropbear balicku, viz:
ssh -oHostKeyAlgorithms=-* root@router
[...]
Their offer: ssh-ed25519,rsa-sha2-256,ssh-rsa28. 9. 2021, 15:07 editováno autorem komentáře
-
msmucrBronzový podporovatel
Aha.. to mě popravdě nenapadlo :). Takže přestože v Dropbearu ECDSA je opravdu asi 7-8 let, tak to z i relativně nových verzí balíčku vykostili při kompilaci, kvůli úspoře velikosti binárky. Hmm.. upřímně jsem spíš tipoval, že tam ta podpora ECDSA je, akorát tam není vygenerovaný host klíč.
-
Není. Boj je o velikost, protože jinak se do firmwaru routeru nevejdou takové nezbytnosti, jako je ohromně výkonný Samba server, na který je router jako dělaný, prostě firewall je ideální místo pro sdílení souborů...
-
Jsi tu spravne. Jeste minuly rok jsem resil prusery pri vypinani dsa. Ono spojene staty jsou takovy skanzen technologii.
Jinak kdybyby jen dropbear... Stare jsch a paramiko knihovny u vychechtanych startupistu ktere nakupoval korporat je taky dobry vejvar.
29. 9. 2021, 23:44 editováno autorem komentáře
ČLÁNKY DO MAILU