Archiv für den Monat: Januar 2015

Security: is SSH hacked yet? … it depends

Für ein grundlegendes Verständnis von Elliptic-Curve-Cryptography ist folgendes Video ganz hilfreich: ECCHacks – A gentle introduction to elliptic-curve cryptography [31c3].

stribika (auf github) stellt eine schöne OpenSSH-Config(-Optimierung) bereit:

Secure Secure Shell

Bonus Rounds: increasing password security for ssh and other keys

new openssh key format and bcrypt pbkdf

Ich fasse noch einmal kurz die Schritte aus meiner OpenSSH-Config zusammen:

$
clear; echo; cd /etc/ssh; rm -fv ssh_host_*key*; echo; ls -all; sleep 5; echo; ssh-keygen -t ed25519 -f ssh_host_ed25519_key < /dev/null; echo; ls -all
$
$
vi /etc/ssh/sshd_config

### Security 2015 - https://stribika.github.io/2015/01/04/secure-secure-shell.html // ###
#
KexAlgorithms curve25519-sha256@libssh.org
HostKey /etc/ssh/ssh_host_ed25519_key
Ciphers aes256-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com
#
### // Security 2015 - https://stribika.github.io/2015/01/04/secure-secure-shell.html ###
$
$
vi /root/.ssh/authorized_keys
$

generierten Client-Schlüssel einfügen

$
ssh-keygen -t ed25519 -o -a 100
$

OpenSSH restart

$
service sshd restart
$

Problematisch sind nach wie vor alte/ungepflegte OpenSSH-Server-Versionen.

Siehe Dropbear im OpenWRT oder ALOM/ILOM-Versionen von immer noch laufenden Sun Microsystems / Oracle EOL-Servern …