Valószínűleg ezért cserélték le a weboldalon a szlogent a következőre:
"Egy távolról kihasználható hiba nélkül, közel 6 év alatt, a default telepítéssel"
Hát mit mondjak. Bár csak az összes többi OS is ilyen eredménnyel büszkélkedhetne. Az elmúlt 6 évben rengeteg távoli exploit látott napvilágot. Mindig is csodáltam az OpenBSD fejlesztőket azért, hogy az általuk kiadott anyagot mindig a legnagyobb körültekintéssel kezelték, és méltán lett az OpenBSD egy legenda alanya.
Én csak gratulálni tudok a fejlesztőknek ezért a teljesítményért.
- A hozzászóláshoz be kell jelentkezni
- 1536 megtekintés
Hozzászólások
Én viszont most zabos vagyok rájuk mint a lósz@r.
Ha a challangeresponseauthentication-t letiltom, akkor ha jól tippelem nem fogja engedni a kulcsal való belépést. Innentől kezdve pedig nekem vmi. nagyon bűzlik.
- A hozzászóláshoz be kell jelentkezni
Megjelent a 3.4, imho -ha jol vettem ki a dologbol (bar changelogot meg nem olvastam) - mar javitva van a dolog. Nem kotelezo a challangeresponseauthentication opciot engedelyezni a sshd_config-ban. IMHO frissits ;)
Ja es osszeuthetnel egy potato, meg egy woody csomagot a 3.4-es OpenSSH-bol
- A hozzászóláshoz be kell jelentkezni
Ize, meg valami. Zabos vagy rajuk, de miert? Mert dolgoznak, es a munkajukban 6 ev alatt talaltak egy komolyabb hibat? Ejnye. Te soha nem hibaztal?
BTW: nekik koszonhetjuk, hogy az OpenSSH egyaltalanl letezik. Kulonben vehetnenk penzert SSH stuffot.
Legy egy kicsit megertobb....
- A hozzászóláshoz be kell jelentkezni
Ez igaz, hogy ők csinálták az első olyan ssh-t, ami minden tekintetben free.
Viszont az egészben a legjobb a challangeresponseauthentication!
Hiszen gondolj bele, ha passwordal jelentkezel be, akkor a túloldalon az sshd plaintextben megtudja a helyi rendszerre a jelszód. Meg egyáltalán: jelszó kell.
Míg pl. challange-response esetén a /dev/(u)random-ból vesz némi entrópiát, lekódolja a publikus kulcsoddal, elküldi neked, te a privát kulcsoddal visszakódolod, visszaküldöd, és ha stimmel avval, amit a /dev/random-ból vett, akkor jó vagy nála.
Ebben az utóbbi esetben nem kell jelszó, nem kell, host/ip alapon megbíznod valakiben. Egyszerűen egy rsa vagy dsa kulcs birtokában be tudsz menni valahova. A kulcsot pedig a kliens oldalon kell/lehet védeni egy passphrase-el.
És, hogy ezt a lehetőséget kivették...
Ok. hibázhatnak. De ha beigérik, hogy egy hét múlva bejelentenek egy bazi nagy hibát, akkor azt ne úgy tegyék, hogy közben a vizzel együtt kiöntik a gyereket is! (Vagyis az ssh egyik legnagyobb előnyét veszik el!)
Ennyi erővel mehetnék ipsec+rsh-val is, és legalább az r* programokat talán már letesztelték az ő 20-30 évük alatt:)
- A hozzászóláshoz be kell jelentkezni
En ugy tudom, hogy a challangeresponseauthentication kikapcsolasa workaround szeru volt addig, amig meg nem jelenik a 3.4. A 3.4 tegnap megjelent, tehat mar nem indokolt a challangeresponseauthentication kikapcsolasa, es a UsePrivilegeSeparation hasznalata sem, max. erosen javasolt.
Nemde?
- A hozzászóláshoz be kell jelentkezni
Már van 3.4-es ssh a potato-ban a security.debian.org-on.
Tudom, mert épp most küldtem rá egy bugreportot:)
- A hozzászóláshoz be kell jelentkezni
Őszintén szólva most megfogtál.
Tegnap-tegnapelőtt, és egyáltalán ezen a héten kb. negatív a szabadidőmm mennyisége. Tudod, az az egészségtelen >1.0 loadom van:)
Így az össz hírforrásom az volt, amit a hup-ból ki tudtam olvasni hirtelenjében:)
És az alapján meg nekem úgy tünt, hogy azt javasolják, kapcsoljam ki a challangeresponse-t... Én meg egyszerűen nem csípem az ilyen workaroundokat :)
- A hozzászóláshoz be kell jelentkezni