OpenSSH: neuere ssh Versionen verweigern Verbindung

Posted on by

In der Fedora Welt kommt seit Wechsel auf Fedora 33 zu einem Problem mit OpenSSH-Servern, wenn die noch alte Hostskeys verwenden oder man selbst zum Authentifizieren einen Key benutzen möchte, der noch SHA1 als Hashalgorithmus benutzt.

OpenSSH: neuere ssh Versionen verweigern Verbindung

Das sollte eigentlich nicht passieren, daß man mit einem Clienten nicht mehr in seinen Server kommt, aber zur Zeit häufen sich die Meldungen, daß man mit dem OpenSSH Shellclienten von Fedora 33 nicht mehr auf Server einloggen kann, wenn entweder der Server einen alten SHA1 Keys verwendet, oder der Client einen Authkey benutzt der noch SHA1 ist.

Die temporäre Abhilfe ist, dem Clienten mitzuteilen, daß er gefälligst den alten SHA1 weiter benutzen soll. Dazu ruft man ssh mit dem Argument „-oPubkeyAcceptedKeyTypes=+ssh-rsa“ auf:

ssh -oPubkeyAcceptedKeyTypes=+ssh-rsa root@servername

Auf lange Sicht muß man natürlich einen neuen Schlüssel auf den Servern und für seinen Zugang ausrollen. Dazu muß man wissen, ob man davon überhaupt betroffen ist und da sagt einem der SSH-Keygenerator:

ssh-keygen -l -f .ssh/Krypto.id_rsa
4096 SHA256:ehMkPi1CRDPCoOYMxdTI8BB2+TkCa13CyMQXX5EXesg id@braunschweig.de (RSA)

Zuerst die Schlüssellänge 4096 Bits, dann der gesuchte Hashalgorithmus „SHA256“ und am Ende der Type „RSA“.  Wenn Ihr betroffen seid, weil Eurer Key unter 2048 und/oder SHA1 ist, dann braucht Ihr einen neuen Key:

ssh-keygen -b 4096 -t rsa-sha2-512 -N „PASSWORD“ -f „FILENAME“ -C „Kommentar“

wobei -N -f und -C alle optional sind, aber falls Ihr größere Mengen an Schlüsseln erzeugen müßte, ist das ganz hilfreich 🙂

Am Ende stellt sich nun aber heraus, daß es gar kein Fedora33 „Feature“ war, daß zu dem Problem geführt hat, sondern ein OpenSSH Bug. Hier der Patch, falls Ihr das adaptieren müßt:

— sshconnect2.c.orig 2020-09-26 07:26:37.618010545 -0700
+++ sshconnect2.c 2020-09-26 07:25:35.665009029 -0700
@@ -1281,10 +1284,9 @@
*/
if (ssh == NULL || ssh->kex->server_sig_algs == NULL ||
(key->type != KEY_RSA && key->type != KEY_RSA_CERT) ||
– (key->type == KEY_RSA_CERT && (datafellows & SSH_BUG_SIGTYPE))) {
– /* Filter base key signature alg against our configuration */
– return match_list(sshkey_ssh_name(key),
– options.pubkey_key_types, NULL);
+ ((key->type == KEY_RSA || key->type == KEY_RSA_CERT)
+ && (datafellows & SSH_BUG_SIGTYPE))) {
+ return xstrdup(sshkey_ssh_name(key));
}

/*

Der Patch ist nicht von mir, sondern von Gordon Messmer und wurde erst vor einigen Stunden bei OpenSSH eingereicht. Mal sehen was daraus wird 😉

Tödliche Lakritzvergiftung

Es gibt echt nicht, was es nicht gibt: In Massachusetts ist eine 54 jähriger Bauarbeiter nach dem Verzehr von Unmengen an Lakritze gestorben. In Lakritze ist ein Gift enthalten:

„Glycyrrhizin oder Glycyrrhizinsäure ist ein Saponin und Triterpenoid, das natürlicherweise in der Wurzel der Süßholzpflanze (Glycyrrhiza glabra) vorkommt. Das Glycosid, das zur Herstellung von Lakritz verwendet wird, ist aber auch in anderen Pflanzen wie der Frucht des Grapefruitbaums enthalten.“ (Quelle: wikipedia.org )

Wenn man davon zu viel isst, kommt es zu einem Potassiummangel im Blut ( für diesen Stoff sind Bananen als Quelle bekannt ) und in Folge zu einem Herzversagen. Also Verstand einschalten, wenn man einen Lakritzberg sieht!

Quelle: https://arstechnica.com/?p=1709881

CoronaChroniken: Die Abwesenheit der Corona Warn App

Posted on by

Liebe Maskierte,

heute erreichte mich ein Handy Screenshot, den ich unbedingt mit Euch teilen möchte.

CoronaChroniken: Die Abwesenheit der Corona Warn App

Laut Tagesschau.de bemängeln deutsche Amtsärzte, daß die Corona Warn App keine Rolle bei der Prävention gegen den Virus darstellt, daß die Meldung eines möglichen Falls durch den AppBesitzer durchgeführt werden muß, statt das von der App automatisch machen zu lassen.

Das man das App Ergebnis vorsichtig beurteilen muß, und dies so eine automatische Benachrichtigungsfunktion nicht kann, die im übrigen eine Überwachung darstellt, sollte bekannt sein.

Beispiel: Zwei Autos parken an einem beschrankten Bahnübergang dicht nebeneinander. Beide Fenster sind zu, aber ein Handy signalisiert dem anderen, es wäre jetzt in der Nähe eines Infizierten. Ergebnis: Handy 2 meldet das an das Gesundheitsamt, der Fahrer muß da antreten, wird getestet und hat … bestenfalls Zeit verloren, schlimmstenfalls darf er direkt und völlig unnötig in Quarantäne gehen, bis das Ergebnis da ist.

Fehlermeldung von Google Playstore, wenn manc nahc Corona App sucht.
War das Szenario vorhersehbar? Klar. Gibts da noch mehr von? Natürlich. Gäbe es auch einen validen Einsatz davon? Sicherlich, aber wie wahrscheinlich ist das schon? 🙂

Um aber überhaupt in dieser Handyfalle zum unschuldigen Opfer zu werden, muß man erst einmal den ersten Schritt tun: Die App überhaupt installieren.

Wie man links neben dem Text lesen kann, ist das gar nicht so einfach 🙂

Die Warn-App funktioniert nämlich nur auf dem neuesten Android 10 und wer für sein Handy keine Updates mehr bekommt, der ist auf ganz elegante Art der Handyfalle entkommen.

In weiteren Nachrichten…

sind 7.300 Intensivbetten aus deutschen Krankenhäusern geflohen. Vermutlich Angst vor einer Infektion 😉 Offiziell heißt es natürlich, daß das Gesundheitsministerium sich verzählt hat. Klingt naheliegend, wird von einem Banker geführt, diese Berufsgruppe vertut sich da schon mal um ein paar Zehnerstellen.

Haben wir von den ganzen Pleitebanken als Geldgeber eigentlich jemals die Investition zurückbekommen? Mir fällt da nur die Commerzbank ein, die Ihre Schulden wohl zurückgezahlt hat. Was hat aber der Rest gemacht?