Fedora: systemd-resolved Diskussion eskaliert

Wow, das habe ich nicht kommen sehen: Leonard Pöttering macht sich einen Feind fürs Leben, auf der Fedora-Devel Mailingliste 😐

Fedora: systemd-resolved Diskussion eskaliert

Das die Diskussion so schnell in einen Developerkrieg eskaliert, hätte ich nie für möglich gehalten:

„As we share the same employer, I encourage you to escalate my „derogatory behaviour“ to our magenement.

I did not read the rest of your email. I will not read or respond to further emails from you on mailing lists.“ (Paul Wouters, 29.9.2020 18:56 Uhr)

zu Deutsch:

„Da wir denselben Arbeitgeber haben, ermutige ich Sie, meine „abfälliges Verhalten“ unserem Arbeitgeber zu melden.

Den Rest Ihrer E-Mail habe ich nicht gelesen. Ich werde sie weder lesen, noch auf weitere E-Mails von Ihnen auf Mailinglisten antworten.“

Herr Pöttering schrieb dies vorher an die Mailingliste:

„“Custom“ is in the eye of the beholder. It appears to me you mean that in a derogatory way.

I mean, given that Ubuntu has been enabling systemd-resolved since quite some time by default I have the suspicion our codebase is more often deployed IRL than the ones you listed? I mean, maybe I am wrong, but it’s certainly not that this is exotic stuff as you imply.

I have the suspicion this is a territorial thing, no? It feels as if you believe that DNS clients that people wo are not core members of the DNS community are inherently a bad thing, and should go away, and leave the real work to the people who actually know how things work, right? I got that kind of behaviour once before when people told us to just leave service management to the real holy men of UNIX.“ (Leonard Pöttering, 29.9.2020 18:18 Uhr)

zu Deutsch:

„Kundenspezifisch“ liegt im Auge des Betrachters. Mir deucht, Sie meinen daß in abfälliger Weise.

Ich meine, angesichts der Tatsache, dass Ubuntu seit geraumer Zeit standardmäßig systemd-resolved aktiviert hat, habe ich den Verdacht daß unsere Codebasis häufiger IRL eingesetzt wird als die, die Sie aufgelistet haben? Ich meine, vielleicht irre ich mich, aber es ist sicher nicht so, dass dies so exotisch ist wie Sie andeuten.

Ich habe den Verdacht, dass dies eine territoriale Angelegenheit ist, nicht wahr? Es fühlt sich an, als ob Sie glauben, dass DNS-Clients, von Personen die keine Kernmitglieder der DNS-Kern-Gemeinschaft sind, von Natur aus eine schlechte Sache sind und verschwinden sollten, und überlassen Sie die eigentliche Arbeit den Menschen, die tatsächlich wissen, wie die Dinge funktionieren, richtig? Ich habe diese Art von Verhalten schon einmal erlebt, als man uns sagte „Überlassen Sie die Verwaltung der Dienste einfach den wahren heiligen Männern von UNIX“.“

Irgendwie kann ich beiden zustimmen, auf der einen Seite gibts extra eine teuer bezahlte Arbeitsgruppe bei der IETF, die Sachen entwicklen sollte, auf der anderen Seite kommen die nicht zu potte ( schreibt Pöttering einen Absatz später ). Trotzdem sehe ich das eher so, daß allein schon wegen fehlendem DNSSEC und dem Default Fallback zu Cloudflare und Google DNS-Servern, systemd-resolved nicht einfach so eingesetzt werden kann.

Angebot

Viele der Probleme, die resolved lösen soll, sind eherlich gesagt Luxusprobleme, die sich mit ein klein wenig Hirnschmalz lösen lassen. Bis auf ganz exotische Szenarien, wo jemand für alles, was er per Interface 1 erreichen kann, DNS 1und2  benutzen will und für Interface 2 dann DNS 3und4, reicht das. Wer ein echt komplexes Setup hat, mit VPN Tunneln durch VPN Tunnel der darf mir gern einen Leserbrief schicken und das mal darstellen. Dann schaue ich mir das gern mal an und gucke, ob das nicht einfacher geht. Herrn Pöttering habe ich auch um ein Beispiel angemailt, mal sehen ob eins kommt.

 

OpenSSH: neuere ssh Versionen verweigern Verbindung

In der Fedora Welt kommt seit Wechsel auf Fedora 33 zu einem Problem mit OpenSSH-Servern, wenn die noch alte Hostskeys verwenden oder man selbst zum Authentifizieren einen Key benutzen möchte, der noch SHA1 als Hashalgorithmus benutzt.

OpenSSH: neuere ssh Versionen verweigern Verbindung

Das sollte eigentlich nicht passieren, daß man mit einem Clienten nicht mehr in seinen Server kommt, aber zur Zeit häufen sich die Meldungen, daß man mit dem OpenSSH Shellclienten von Fedora 33 nicht mehr auf Server einloggen kann, wenn entweder der Server einen alten SHA1 Keys verwendet, oder der Client einen Authkey benutzt der noch SHA1 ist.

Die temporäre Abhilfe ist, dem Clienten mitzuteilen, daß er gefälligst den alten SHA1 weiter benutzen soll. Dazu ruft man ssh mit dem Argument „-oPubkeyAcceptedKeyTypes=+ssh-rsa“ auf:

ssh -oPubkeyAcceptedKeyTypes=+ssh-rsa root@servername

Auf lange Sicht muß man natürlich einen neuen Schlüssel auf den Servern und für seinen Zugang ausrollen. Dazu muß man wissen, ob man davon überhaupt betroffen ist und da sagt einem der SSH-Keygenerator:

ssh-keygen -l -f .ssh/Krypto.id_rsa
4096 SHA256:ehMkPi1CRDPCoOYMxdTI8BB2+TkCa13CyMQXX5EXesg id@braunschweig.de (RSA)

Zuerst die Schlüssellänge 4096 Bits, dann der gesuchte Hashalgorithmus „SHA256“ und am Ende der Type „RSA“.  Wenn Ihr betroffen seid, weil Eurer Key unter 2048 und/oder SHA1 ist, dann braucht Ihr einen neuen Key:

ssh-keygen -b 4096 -t rsa-sha2-512 -N „PASSWORD“ -f „FILENAME“ -C „Kommentar“

wobei -N -f und -C alle optional sind, aber falls Ihr größere Mengen an Schlüsseln erzeugen müßte, ist das ganz hilfreich 🙂

Am Ende stellt sich nun aber heraus, daß es gar kein Fedora33 „Feature“ war, daß zu dem Problem geführt hat, sondern ein OpenSSH Bug. Hier der Patch, falls Ihr das adaptieren müßt:

— sshconnect2.c.orig 2020-09-26 07:26:37.618010545 -0700
+++ sshconnect2.c 2020-09-26 07:25:35.665009029 -0700
@@ -1281,10 +1284,9 @@
*/
if (ssh == NULL || ssh->kex->server_sig_algs == NULL ||
(key->type != KEY_RSA && key->type != KEY_RSA_CERT) ||
– (key->type == KEY_RSA_CERT && (datafellows & SSH_BUG_SIGTYPE))) {
– /* Filter base key signature alg against our configuration */
– return match_list(sshkey_ssh_name(key),
– options.pubkey_key_types, NULL);
+ ((key->type == KEY_RSA || key->type == KEY_RSA_CERT)
+ && (datafellows & SSH_BUG_SIGTYPE))) {
+ return xstrdup(sshkey_ssh_name(key));
}

/*

Der Patch ist nicht von mir, sondern von Gordon Messmer und wurde erst vor einigen Stunden bei OpenSSH eingereicht. Mal sehen was daraus wird 😉

CoronaChroniken: einstündiges South Park Spezial angekündigt

Am Sonntag, den 4.10.2020 geht South Park mit einem einstündigen Corona Spezial in die neue Staffel. Einen Tag später gibt den deutschen HD Stream im Netz.

CoronaChroniken: einstündiges South Park Spezial angekündigt

In der passenden Ankündigung heißt es:

„Randy stellt sich seiner neuen Rolle beim beim Ausbruch der COVID-19 Pandemie, da die anhaltende Pandemie die Bürger von South Park weiterhin vor Herausforderungen stellt. Die Kinder gehen weiterhin glücklich zurück zur Schule, aber nichts ist, wie es einmal war. Nicht ihre Lehrer, nicht ihr Klassenraum, nicht einmal Eric Cartman.“ (mehr auf Southpark.de)

Wenn man sich schon nicht mal mehr auf Eric Cartman verlassen kann, auf was dann? Vielleicht darauf, daß es ein ganz großer abgedrehter Spaß sein wird? Na schauen wir doch mal:

Ich denke, ich weiß was das „Pandemic Special“ sein wird 😀 Und wer die letzte Staffel South Park gesehen hat, der wird dies sicher auch so sehen 😉

Ansehen könnt Ihr Euch South Park direkt in Kodi oder mit einem Tag Verspätung auf https://southpark.de ansehen.

In anderen News

Natürlich gibt es heute noch mehr Corona-Nicht-News: Die Webseite bmgbund.de, die derzeit durch Spams u.a. über Kontaktformulare wie folgt beworben wird:

„Dringende Nachricht des Bundesministeriums für Gesundheit zum Coronavirus! htpp://bmgbund.de“

ist beileibe keine Webseite des Bundesministeriums, sondern einfach mal eine Porno Frontpage, die dem Besucher dann vermutlich auch gleich noch einen Trojaner verpassen will. Die Kripo Hannover kommentierte den Versuch die Seite aufzurufen wie folgt: „Nach 10 Redirects von hinz zu kunz habe ich aufgehört.“ 🙂 Jetzt fragt sich der eine oder andere natürlich, wieso jemand deswegen die Kripo einschalten würde, aber schaut Euch mal den Domainnamen an: „bmgbund.de“, denn normal wäre „bund.de“ tatsächlich die Hauptdomain für Bundesbehörden. Da kann man schnell mal drauf reinfallen. Daher habe ich die Behörden zwecks Beschlagnahme der Domain eingeschaltet.  (Das hier keine Links sind, ist Absicht 😉 )

Ich mag ja mit dem Kurs des Gesundheitsministers nicht ganz einverstanden sein, aber so etwas geht gar nicht.

In weiteren echten Corona News

Ein Statistiker aus München hat eine Erklärung(Link wäre hinter PayWall, daher kein Link) für die Coronainfektionszahlen: Das Dunkelfeld wird bei 1.2 Millionen Tests die Woche weit ausgeleuchtet. Das Dunkelfeld sind die Infizierten, die nichts merken und nicht zum Arzt gehen, auch als Dunkelziffer bekannt. Das erklärt natürlich schön den Umstand, daß es kaum schwer Erkrankte gibt und entsprechend wenige Tote. Das das RKI eine besondere Beziehung zu den Todeszahlen hat, hatten wir ja öfters als Thema im Blog ( CoronaChroniken: Sterbezahlen nicht mehr veröffentlicht , CoronaChroniken: also so langsam.. )