[Linuxtrent] Re: Openssl in Debian e derivate!
- From: Emanuele Olivetti <emanuele@xxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 15 May 2008 09:45:12 +0200
Roberto Resoli wrote:
> 2008/5/15 Marco Ciampa <ciampix@xxxxxxxxx>:
>> ...
>>
>> Ottengo:
>> Not blacklisted: 2048 ************ /etc/ssh/ssh_host_rsa_key.pub
>> Not blacklisted: 1024 ************ /etc/ssh/ssh_host_dsa_key.pub
>> Unknown (no blacklist information): 2048 ********* root@ciampix
>>
>> le prime due vabbé mi pare di aver capito (non sono sicuro al 100%) ma la
>> terza?
>> Che vuol dire? Dov'è?
>
> hai ragione, dovrebbero indicare da dove viene quella chiave. Ti tocca
> andare a manina ed esplorare uno per uno i files candidati, guidato
> dal man di ssh-vulnkey. Però mi sento di scusare la mancanza, devono
> aver fatto sta cosa in fretta e furia ...
>
> ciao,
> rob
Da root esegui "ssh-vulnkey -a". Vegono esplorati tutti i file interessati
(id_dsa*, id_rsa*, authorized_keys ecc.) di tutti gli utenti. Una
limitazione
che ho trovato e' che nel caso di authorized_keys non viene indicata
la riga incriminata ma solo la fingerprint. Il "Debian/OpenSSL Weak Key
Detector"
dowkd.pl [*] e' un po' piu' prolisso e ti fornisce anche questa
informazione:
"./dowkd.pl user".
Ho dovuto aggiornare molte chiavi. L'unica vera scomodita' e' stato
propagarle
a tutti gli host su cui erano autorizzate. Non mi sarebbe dispiaciuto un
tool
un po' piu' complesso che (a scelta) faceva anche questo passo. Mi pare che
le informazioni ci siano per fare tutto cio'.
Ciao,
Emanuele
[*] http://security.debian.org/project/extra/dowkd/
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: