[gull] Plus d'accès SSH après correctif DSA 1571-1

Olivier Lange wire at petit-atelier.ch
Tue Aug 26 23:05:40 CEST 2008 

Je n'ai pas eu le temps de donner tous les détails tout à l'heure,
en voici davantage; à toutes fins utiles si quelqu'un rencontrait le
même écueil que moi...

Tout d'abord, l'option qui permet de prier OpenSSH d'ignorer
momentanément le mécanisme de 'blacklist' est la suivante:

  PermitBlacklistedKeys yes

qui peut être ajoutée dans /etc/sshd_config (puis redémarrer le
service).

Ensuite, l'étape de la regénération des clés n'a pas tout de suite
donné le résultat escompté, parce que je n'avais pas la bonne
version de 'libssl'. 'ssh-keygen' continuait donc de générer des
clés vulnérables selon DSA-1571-1! Et l'installation automatique du
package 'openssh-blacklist' a provoqué l'auto-blocage de SSH, qui
interrompait toute connexion SSH aussitôt qu'il s'apercevait que ses
clés DSA/RSA privées figuraient dans la blacklist (qui étaient donc
vulnérables).

Pour corriger la vulnérabilité signalée dans DSA-1571-1, il faut au
moins la version 0.9.8c-4etch3 de libssl dans la distribution stable
(etch), ou la version 0.9.8g-9 dans la distribution testing (sid).

Or j'avais une version 0.9.8g-8 de libssl provenant de la
distribution testing, alors que openssh provenait de la distribution
stable... C'est ce panachage de configurations qui a été à l'origine
de mes soucis. J'ai installé la version 0.9.8g-13 de libssl et cela
m'a permis de régler cette affaire.

Ensuite, j'ai regénéré les clés du serveur comme suit:

# ssh-keygen -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key -N ''
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
38:91:95:53:16:5b:86:88:29:29:d4:d8:02:5e:65:2f root at solar-6

# ssh-keygen -b 1024 -t dsa -f /etc/ssh/ssh_host_dsa_key -N ''
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
The key fingerprint is:
f3:00:4e:86:d7:b4:41:1e:f5:be:53:de:5a:97:a4:fc root at solar-6

enfin redémarré le service SSH:

  # /etc/init.d/ssh restart
  Restarting OpenBSD Secure Shell server: sshd.

après quoi le problème était résolu. Ne pas oublier de transcrire
les empreintes des nouvelles clés SSH et de les communiquer aux
utilisateurs.

--
Olivier



Olivier Lange wrote:
> Pour info, j'ai identifié le problème après avoir obtenu de l'aide
> sur place. La clé m'a été donnée par le journal /var/log/auth.log;
> en cherchant alentour des connexions SSH qui ont été immédiatement
> interrompues, j'ai tout de suite trouvé:
> 
> solar-6 sshd[2802]: error: Host key
> 41:9d:8f:5c:1e:63:c2:d9:68:f7:fd:8d:c5:21:5d:8f blacklisted
> 
> C'est donc que les clés SSH du serveur étaient considérées comme
> faibles en regard de la vulnérabilité DSA-1571-1 et que le service
> SSH s'auto-censurait.
> 
> Les clés RSA/DSA du serveur ont été regénérée et le service SSH
> redémarré, ensuite de quoi cela fonctionnait à nouveau.
> 
> Il est également possible de définir une option dans les paramètres
> de SSHD, afin qu'il ne consulte pas la blacklist.
> 
> Merci à tous pour votre promptes réponses et suggestions.
> 
> --
> Olivier
> 
> 
> Olivier Lange wrote:
>> Je n'ai pas accès physiquement au serveur et ne peux pas me
>> connecter depuis la console, c'est une machine que j'ai en location
>> chez Metanet à Zürich.
>>
>> Cependant je n'avais pas songé à cette suggestion. Je me suis fait
>> une petite liste de choses à demander au support sur place et je
>> l'ai ajoutée, merci.
>>
>> A ce sujet, voici ce que je m'apprête à demander:
>>
>> - journal aptitude (/var/log/aptitude?)
>> - journal ssh (/var/log/ssh?)
>> - journal authentifications (/var/log/auth)
>> - journal iptables
>> - journal denyhosts (/var/log/denyhosts)
>> - config ssh (/etc/ssh/*)
>> - connexion locale à ssh (ssh -v xyz at localhost)
>> - redémarrer le service ssh
>>
>> Me recommanderiez-vous de demander d'autres informations pertinentes
>> pour diagnostiquer le problème? d'entreprendre d'autres actions?
>>
>> Olivier
>>
>>
>> Yann Sagon wrote:
>>> Le 25 août 2008 17:13, Olivier Lange <wire at petit-atelier.ch> a écrit :
>>>> Bonjour!
>>>>
>>>> Après avoir appliqué divers correctifs de sécurité sur mon serveur
>>>> Debian avec aptitude, je n'arrive plus à me connecter au service
>>>> SSH.
>>> Est-ce que tu arrives à te connecter sur ton serveur en local (ssh
>>> user at localhost)?

More information about the gull mailing list