* Dmitry E. Oboukhov <[EMAIL PROTECTED]> [2008-05-16 11:55:59+0400] > там прикрутили блэклист к ssh > > ну и такая ситуация: > > 1. обновил ssh, поставился ssh-blacklist > 2. перезапускаем ssh он кричит что ключи хоста в блеклисте > 3. ок,перегенерируем эти ключи, смотрим на fingerprint'ы их, видим что > ключи изменились и стали новые > 4. перезапускаем ssh, попадаем в пункт 2. > > кричит посмотрите ман ssh-vulnkey, а в мане нифига на эту тему не > написано > что делать, кто разобрался? > > ssh в итоге отбивает все входящие соединения с криками в auth.log: > > May 16 11:53:56 vds sshd[10207]: error: Host key > aa:a2:9d:19:d3:08:92:60:21:39:94:c0:78:15:cc:00 blacklisted (see > ssh-vulnkey(1)) > May 16 11:53:56 vds sshd[10207]: error: Host key > 22:d7:16:36:65:64:97:ea:b5:ad:f7:0f:41:9e:0d:3c blacklisted (see > ssh-vulnkey(1)) > > > зеркало с которого обновлялись пробовал ставить ftp(?:.de)?.debian.org > в общем точно обновлено до посл ревизии
Я с подобным чуть не влип... В первый же день, когда стал известен баг, перегенерировал ключи, обновил на всех хостах. Сегодня вдруг приходит уведомление с code.haskell.org, что мой аккаунт заблокировали из-за скомпроментированного ключа (нашли его в блеклисте). Ругаясь, пошел устаналивать тот блеклист. Таки да, там есть мой новый ключ. Генерирую еще один -- и он там же. В итоге проблема оказалась в том, что OpenSSL-то я обновил, а OpenSSH нет, и он продолжал генерировать слабые ключи. И если бы не заботливые админы code.haskell.org... Интересно, а почему OpenSSH не использует OpenSSL? Тем более, что судя по багу, код там дублируется. -- Roman I. Cheplyaka :: http://ro-che.info/ ...being in love is totally punk rock... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
