[Eisfair] Wichtige Änderungen für ssh/sshd im kommenden Base-Update 2.8.4

[Marcus Roeckrath]

Hallo,

im kommenden Base-Update wird es zu wichtigen Änderungen im Bereich ssh/sshd
und damit allen Programmen kommen, die ssh-Verbindungen nutzen.

Es wurden von den Programmierern weitere unsichere Optionen endgültig aus
dem Code entfernt.

Je nach derzeitigen Einstellungen kann dies dazu führen, dass
ssh-Verbindungen scheitern.

Wenn das Base-Update in einigen Tagen kommt und dieses über eine
ssh-Verbindung eingespielt wird, muss diese solange offen gehalten werden,
bis sichergestellt ist, dass nach dem Update eine neue Verbindung,
gegebenenfalls nach Konfigurationsanpassung für ssh unter

System administration -> SSH administration

hergestellt werden kann.

Folgende Optionen wurden entfernt:

CIPHERs: arcfour256, arcfour128, arcfour, cast128-cbc und blowfish-cbc

MACs: hmac-ripemd160-etm at openssh.com, hmac-ripemd160 und
hmac-ripemd160 at openssh.com

Insbesondere die nun abgeschalteten MACs sind oft noch bei älteren Clients
in Gebrauch und die beiden ersten davon gehörten bislang zu den
Default-MACs auf dem eis.

Hier ein fehlgeschlagener Versuch, bei dem dann ausgegeben wird, welche MACs
Quell- und Zielsystem unterstützen:

no matching mac found: client
hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160 at openssh.com,hmac-sha1-96,hmac-md5-96
server
hmac-sha2-512-etm at openssh.com,hmac-sha2-256-etm at openssh.com,umac-128-etm at openssh.com,
hmac-sha2-512,hmac-sha2-256,umac-128 at openssh.com

Abhilfe schafft dann eine andere der weiteren MACs zusätzlich zum Wert
default in der ssh-Konfigurationschicht für den ssh einzutragen, z. B.
hmac-md5-96.

In erinnere an den Wiki-Artikel

https://web.nettworks.org/wiki/pages/viewpage.action?pageId=23330858

der aus Anlass der letzten Diensthärtung im Base 2.3.9 verfasst und nun von
mir aktualisiert wurde.

Diese sollte aufmerksam gelesen werden.

Fragen bitte hier stellen.

-- 
Gruss Marcus