Wednesday, May 14, 2008

Debian の ssh ホスト鍵を再生成

過去の Debian 固有の OpenSSL への誤った修正により、この修正のあとに OpenSSL で作られた鍵(ssh のホスト鍵など)を再生成しないといけないようです。

Debian セキュリティ勧告 DSA-1571-1 openssl -- 予測可能な乱数の生成

Debian システムで、バージョン 0.9.8c-1 以降の OpenSSL で作成された、暗号鍵に関するデータは捨てて作り直す必要があります。さらに、影響を受ける Debian システムで、署名や本人認証の目的で使われた全ての DSA 鍵は脆弱であると考えてください。デジタル署名アルゴリズムは、署名生成時の秘密の乱数の値に依存しているからです。

この欠陥を持つ最初のバージョンは 0.9.8c-1 で、不安定版に 2006-09-17 にアップロードされており、その後テスト版 (testing) や安定版 (etch) に流れています。旧安定版 (sarge) には影響はありません。

去年の暮れ気紛れに SSH のホストキーを作り直したので、たぶん影響を受けてるんだろうな‥‥。

titania:/etc/ssh# ls -alF
合計 168
drwxr-xr-x  2 root root   4096 2007-11-18 23:03 ./
drwxr-xr-x 73 root root   4096 2008-05-14 15:14 ../
-rw-r--r--  1 root root 132777 2007-03-06 01:38 moduli
-rw-r--r--  1 root root   1424 2007-03-06 01:38 ssh_config
-rw-------  1 root root    672 2007-11-18 22:55 ssh_host_dsa_key
-rw-r--r--  1 root root    602 2007-11-18 22:55 ssh_host_dsa_key.pub
-rw-------  1 root root    883 2007-11-18 22:55 ssh_host_rsa_key
-rw-r--r--  1 root root    222 2007-11-18 22:55 ssh_host_rsa_key.pub
-rw-r--r--  1 root root   1871 2007-11-18 23:03 sshd_config
titania:/etc/ssh# tar cvzf ssh_old_keys.tar.gz ssh_host_*
ssh_host_dsa_key
ssh_host_dsa_key.pub
ssh_host_rsa_key
ssh_host_rsa_key.pub
titania:/etc/ssh# chmod go= ssh_old_keys.tar.gz
titania:/etc/ssh# rm ssh_host_*
titania:/etc/ssh# dpkg-reconfigure openssh-server
Creating SSH2 RSA key; this may take some time ...
Creating SSH2 DSA key; this may take some time ...
Restarting OpenBSD Secure Shell server: sshd.

あとはクライアント側で known_hosts やそれに類する情報を修正して完了。

追記@Mon May 19 16:39:01 2008

Open Tech Press | セキュリティ警報:多数のシステムに影響を及ぼすDebian OpenSSLの不具合が発覚

No comments:

Post a Comment