2008/5/15 Emanuele Olivetti <emanuele@xxxxxxxxxxxxxx>: > Roberto Resoli wrote: >> 2008/5/15 Marco Ciampa <ciampix@xxxxxxxxx>: >>> ... >>> >>> Ottengo: >>> Not blacklisted: 2048 ************ /etc/ssh/ssh_host_rsa_key.pub >>> Not blacklisted: 1024 ************ /etc/ssh/ssh_host_dsa_key.pub >>> Unknown (no blacklist information): 2048 ********* root@ciampix >>> >>> le prime due vabbé mi pare di aver capito (non sono sicuro al 100%) ma la >>> terza? >>> Che vuol dire? Dov'è? >> >> hai ragione, dovrebbero indicare da dove viene quella chiave. Ti tocca >> andare a manina ed esplorare uno per uno i files candidati, guidato >> dal man di ssh-vulnkey. Però mi sento di scusare la mancanza, devono >> aver fatto sta cosa in fretta e furia ... >> >> ciao, >> rob > > > Da root esegui "ssh-vulnkey -a". Vegono esplorati tutti i file interessati > (id_dsa*, id_rsa*, authorized_keys ecc.) di tutti gli utenti. Una > limitazione > che ho trovato e' che nel caso di authorized_keys non viene indicata > la riga incriminata ma solo la fingerprint. ah perfetto. in effetti era l'unica soluzione. consiglio anche un ssh-vulnkey ./ssh/known host tanto per vedere quanti hosts a cui ci si collega abitualmente si presentano con chiavi compromesse. Il "Debian/OpenSSL Weak Key > Detector" > dowkd.pl [*] e' un po' piu' prolisso e ti fornisce anche questa > informazione: > "./dowkd.pl user". ah ottimo. > Ho dovuto aggiornare molte chiavi. L'unica vera scomodita' e' stato > propagarle > a tutti gli host su cui erano autorizzate. Non mi sarebbe dispiaciuto un > tool > un po' piu' complesso che (a scelta) faceva anche questo passo. Mi pare che > le informazioni ci siano per fare tutto cio'. vedremo poi fra qualche giorno quanto questo problema sia grave, cioè quanto sia praticamente sfruttabile la vulnerabilità. ciao, rob > Ciao, > > Emanuele > > [*] http://security.debian.org/project/extra/dowkd/ > > -- > Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO > "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx > > > -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx