Sicherheit

Aus Sicherheitsgründen sollten Sie sich nur über kryptographisch gesicherte (verschlüsselte) Protokolle einloggen, um das Abhören oder Manipulieren von Passwörtern oder Daten zu vermeiden.

Fingerprints

Liste der einheitlichen SSH-Fingerprints seit 1.5.2012 für tux{1,2,5,6,9}:
    RSA85:70:0d:ca:b8:50:bb:31:9b:50:88:a2:25:25:ff:1d
    DSA82:cf:ad:99:35:ec:c5:38:d3:df:bb:d2:a8:4c:a1:7e
    ECDSA98:ca:79:da:bc:e2:6a:9b:d5:bd:8f:46:a0:19:63:e2

Änderung des SSH-Host-Keys

Die Server tux{1,2,5,6,9} des Ausbildungsclusters am SCI wurden Anfang Mai 2012 auf virtuelle Maschinen umgestellt. Dabei wurden auch die SSH-Host-Keys aller Server vereinheitlicht
und es kann deshalb zu folgender Warnung beim ersten SSH-Login kommen:

ssh p_muster@tux9.cs.uni-kl.de

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
85:70:0d:ca:b8:50:bb:31:9b:50:88:a2:25:25:ff:1d
Please contact your system administrator.
Add correct host key in /home/p_muster/.ssh/known_hosts to get rid of this message.
Offending RSA key in /home/p_muster/.ssh/known_hosts:96
remove with: ssh-keygen -f "/home/p_muster/.ssh/known_hosts" -R tux9
RSA host key for tux9 has changed and you have requested strict checking.
Host key verification failed.
Exit 255

Ihr Rechner mit dem Sie Verbindung aufbauen führt eine Liste, der ihm bisher bekannten SSH-Host-Keys. Unter Linux wird diese Liste normalerweise in der Datei ~/.ssh/known_hosts geführt.
Um den neuen Host-Key zu akzeptieren müssen Sie zuerst die alten Einträge entfernen!
Dazu können Sie entweder folgendes Script in der Bash-Shell:

for i in tux{1..9} ; do for j in $i $i.{cs,informatik}.uni-kl.de `gethostip -d $i.informatik.uni-kl.de` ; do ssh-keygen -R $j ; done ; done

oder die expandierten Befehlssequenzen in der Shell Ihrer Wahl benutzen:

ssh-keygen -R tux1
ssh-keygen -R tux1.cs.uni-kl.de
ssh-keygen -R tux1.informatik.uni-kl.de
ssh-keygen -R 131.246.161.65

ssh-keygen -R tux2
ssh-keygen -R tux2.cs.uni-kl.de
ssh-keygen -R tux2.informatik.uni-kl.de
ssh-keygen -R 131.246.161.66

ssh-keygen -R tux3
ssh-keygen -R tux3.cs.uni-kl.de
ssh-keygen -R tux3.informatik.uni-kl.de
ssh-keygen -R 131.246.161.67

ssh-keygen -R tux4
ssh-keygen -R tux4.cs.uni-kl.de
ssh-keygen -R tux4.informatik.uni-kl.de
ssh-keygen -R 131.246.161.196

ssh-keygen -R tux5
ssh-keygen -R tux5.cs.uni-kl.de
ssh-keygen -R tux5.informatik.uni-kl.de
ssh-keygen -R 131.246.161.198

ssh-keygen -R tux7
ssh-keygen -R tux7.cs.uni-kl.de
ssh-keygen -R tux7.informatik.uni-kl.de
ssh-keygen -R 131.246.161.186

ssh-keygen -R tux8
ssh-keygen -R tux8.cs.uni-kl.de
ssh-keygen -R tux8.informatik.uni-kl.de
ssh-keygen -R 131.246.161.185

ssh-keygen -R tux9
ssh-keygen -R tux9.cs.uni-kl.de
ssh-keygen -R tux9.informatik.uni-kl.de
ssh-keygen -R 131.246.161.187

Anpassung am Beispiel von tux9

ssh-keygen -R tux9
ssh-keygen -R tux9.cs.uni-kl.de
ssh-keygen -R tux9.informatik.uni-kl.de
ssh-keygen -R 131.246.161.187
ssh p_muster@tux9.cs.uni-kl.de

The authenticity of host 'tux9 (131.246.161.187)' can't be established.
ECDSA key fingerprint is 98:ca:79:da:bc:e2:6a:9b:d5:bd:8f:46:a0:19:63:e2.
Are you sure you want to continue connecting (yes/no)?

Bestätigen Sie mit "yes" wenn der Fingerabdruck mit dem auf dieser Webseite veröffentlichten, also ECDSA98:ca:79:da:bc:e2:6a:9b:d5:bd:8f:46:a0:19:63:e2, übereinstimmt.
Der neue SSH-Key für tux9 wurde damit in die Datei ~/.ssh/known_hosts übernommen und die Verbindung sollte beim nächsten SSH-Login ohne Warnung hergestellt werden.