© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Marc Santhoff <M.Santhoff(at)t-online.de> wrote:
> Oliver Fromme wrote:
> [...]
> > Ich hoffe Du hast den public-key und/oder den Fingerprint
> > überprüft, _bevor_ Du ihn der known_hosts hinzugefügt hast?
> > Das ist nämlich der Sinn der Sache.
>
> Geprüft? Wie, geprüft? Um ehrlich zu sein, habe ich ssh
> bisher nur soweit beschnüffelt, bis lokal alles geht.
> Da muß ich nochmal in die Doku steigen (schäm).
Eines der Grundprinzipien von ssh ist, daß eine beidseitige
Authentisierung stattfindet. Bei telnet / rlogin ist dies
nur einseitig: Du authentisierst Dich gegenüber dem Server
(z.B. indem Du Dein Paßwort eingibst), aber Du kannst nicht
wissen, ob der Server, zu dem Du connected bist, wirklich
derjenige ist, für den Du ihn hältst. Daher ist es er-
schreckend einfach, einen Man-in-the-middle-Angriff durch-
zuführen.
Bei ssh dagegen authentisiert sich auch der Server gegen-
über Dir -- das ist die Aufgabe des Host-keys. Wenn Du zu
einem Rechner eine ssh-Verbindung öffnest, dessen Host-Key
sich nicht in Deiner known_hosts befindet (unter dem rich-
tigen Namen), dann zeigt ssh Dir den Fingerprint (das ist
eine MD5-Summe des Keys, bestehend aus 16 Hex-Bytes) und
fragt Dich, ob das seine Richtigkeit hat.
Wenn Du diese Frage blind mit "y" beantwortest, kannst Du
eigentlich genausogut telnet benutzen. :-)
> Und der Unterschied: Keys sind gleich, Name mit und ohne
> Domain (puh). Und der erste ist hinzugefügt worden, bevor
> der Rechner Verbindung nach draußen hatte.
Schwein gehabt. :-)
> Autsch. Ist das eine realistische Gefahr? Der Rechner bekommt
> die updates via nfs (obj und src).
Es gibt einige bekannte ssh-Exploits, die auf der Unwissen-
heit derjenigen Benutzer basieren, die bei einem unbekann-
ten Host-key "y" eingeben, ohne mit der Wimper zu zucken.
Insofern würde ich von einer realistischen Gefahr sprechen,
ja.
Gruß
Olli
PS: Natürlich ist das alles die Schuld von Windows. :-]
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 15 Oct 2001 - 21:46:44 CEST