On Thu, May 15, 2008 at 12:06:15AM +0200, Daniele Nicolodi wrote: > "Marco Ciampa" <ciampix@xxxxxxxxx> writes: > > > Inoltre è interessante vedere che ottengo gli stessi messaggi anche > > rifacendo le chiavi e che secondo il README: > > > > If ssh-vulnkey says "Unknown (no blacklist information)", then it has no > > information about whether that key is affected. In this case, you > > can examine the modification time (mtime) of the file using "ls -l". > > Keys generated before September 2006 are not affected. > > > > Cioè, sencondo quanto dice, le chiavi che ho appena rifatto (che danno gli > > stessi messaggi) potrebbero essere vulnerabili...ma che senso ha? prima di tutto, grazie per gli approfondimenti. > Fermiamoci a riflettere un momento e vedrai che la cosa ha > perfettamente senso. Le chiavi vulnerabili vengono identificate > confontandole con quelle presenti in un elenco di chiavi "cattive". > Questo eleno non contiene tutte le possibili chiavi "cattive". Credo > che non siano state gnerate tutte le chiavi "cattive" per formati di > chiavi e lunghezze delle medesime fuori dal comune. In particolare la > blacklist contiene solo le chiavi RSA a 2048 bit e le DSA a 1024 bit. > > Se usi ciavi di lunghezza diversa da quelle contenute nella blacklist > ovviamente ssh-vulnkeys non sa con cosa confrontare le chiavi che > trova sul tuo sistema. Per questo diche che le chiavi sono > potenzialmente vulnerabili. ok, non è il mio caso dato che le chiavi sono state generate automaticamente e sono di lunghezza standard. > Un'altro parametro per avere indicazione di chiavi vulnerabili è il > fatto che siano state generate nell'intervallo di tempo in cui sui > sistemi debian è stato possibile avere il pacchetto di openssh con la > vulnerabilità. In particolare, come dice la documentazione, questo > periodo va da settembre 2006 al rilascio del pacchetto corretto in > questi giorni. Ovviamente le chiavi generate con la versione corretta > di openssl non sono notoriamente vulnerabili (ma nel tuo caso > continuano ad essere generate con una lunghezza per la quale non è > stata creata una blacklist). mmm e da dove deduci che sono di lunghezza fuori standard? > Spro che adesso sia tutto un po' più chiaro. Purtroppo no. La cosa triste è che facendo: spostando le vecchie chiavi in un luogo sicuro e facendo: dpkg-reconfigure openss-server Ottengo: Not blacklisted: 2048 ************ /etc/ssh/ssh_host_rsa_key.pub Not blacklisted: 1024 ************ /etc/ssh/ssh_host_dsa_key.pub Unknown (no blacklist information): 2048 ********* root@ciampix le prime due vabbé mi pare di aver capito (non sono sicuro al 100%) ma la terza? Che vuol dire? Dov'è? -- Marco Ciampa +--------------------+ | Linux User #78271 | | FSFE fellow #364 | +--------------------+ -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx