Hi Joerg! On Wed, 6 Jul 2005, Joerg Zimmermann wrote: > Andreas Pakulat wrote: > > On 06.Jul 2005 - 21:23:25, Joerg Zimmermann wrote: > >>Vielleicht dass ein potenzieller Angreifer nicht alle relevanten > >>Informationen frei Haus geliefert bekommt. > > > > > > So ein Unfug ;-) > > > > Sowas nennt man "Security by Obscurity" und hilft i.A. nichts, ausser > > vllt. dich in Sicherheit zu wiegen. Du glaubst doch nicht das sich > > jemand hinsetzt und raussucht welche Sicherheitsluecken in dem > > Debian-Paket vllt. noch nicht gefixt sind? Man nehme einfach die > > ssh-Version und teste alle bekannten Sicherheitsluecken dieser Version - > > kein Problem und dauert vermutlich nicht mal halb so lange. Und wenn SSH > > seine Version auch nicht melden wuerde, wuerde ich rueckwaert arbeiten > > und mit den neuesten Sicherheitsluecken anfangen, auf die Art findet man > > auch sehr schnell das Loch. > > siehe meine andere Mail. Das _ist_ Unfug. > > Es geht hier im ?brigen nicht um die Info 'SSH Version'. Die ist > unvermeidlich, naja nicht wirklich, aber damit k?nnte man leben. Es > geht schlicht um folgendes: > > Wenn ich als Angreifer weiss, welches Betriebssystem in welcher > Version bei Dir l?uft, dann weiss ich auch wo ich den Hebel ansetzen > muss. Das muss dann nicht SSH sein. Das k?nnte auch Dein Kernel sein, > Dein PAM, Dein what ever. > > Und das Ganze nur weil Dein SSH-Server 'loud und proud' t?nt ich > bin's, hier l?uft Debian. _Mach_ _mich_ _auf_ oder was? Das ist doch > unn?tig und muss nicht sein.
So unsinnig sind Deine Ausfuehrungen nicht, aber genau betrachtet muss ich Dir widersprechen. Was soll Upstream denn sagen, wenn die ersten Bugreports reintrudeln, dass dieser und jener SSH-Server mit einem anderen SSH-Client nicht geht? Und sich dann nach langem trara herausstellt, dass unter Debian zwar lauter neue Patches eingespielt wurden, aber das nicht bei der Kommunikation zwischen Client und Server mitgeteilt wird? Die wuerden sich bedanken ... Und bedenke bitte: bei einem Release-Zyklus von zuletzt fast 3 Jahren muss man schon aus Sicherheitsgruenden einige Patches einspielen. Dass sich da die Verhaltensweise des SSH aendern kann, ist klar, dass das dokumentiert werden muss, auch. Wuerde Debian stets der OpenSSH-Version von OpenBSD folgen (d.h. _auch_ in stable, nicht nur in testing/sid), muesste man nichts an der Version aendern, da hast Du recht. Das ist aber nicht praktikabel, aus Sicherheitsgruenden sowieso. MfG Jens
