Debian specifikus változtatás az OpenSSH szerverben

Debian

Parázs vita alakult ki a debian-security listán amiatt, hogy a Debianos (woody/sid) OpenSSH verzió sztringje megváltozott. Sokak szerint ez jelentősen megkönnyíti a betörők dolgát, hiszen elég egy telnet és a rendszer tálcán kínálja a futó operációs rendszer verziójára vonatkozó információt.2001. március 20-án a FreeBSD-ben is eszközöltek hasonló változtatásokat (ott a verzió "OpenSSH_2.3.0"-ról "OpenSSH_2.3.0 green@FreeBSD.org 20010321"-ra változott), majd a nagy felzúdulás miatt május 3-án belekerült a FreeBSD-s OpenSSH-ba a "VersionAddendum" opció, amellyel ez a sztring megváltoztatható. A FreeBSD-ben lévő OpenSSH számos változtatást tartalmaz az eredetihez képest (Kerberos támogatás, PAM módosítások), így ott indokolt lehet ezeknek a változtatásoknak a feltüntetése, azonban ennek ellenére igaz, hogy a rosszindulatú támadók dolgát jelentősen megkönnyíti, hiszen az OpenSSH verziószámán kívül egy intervallumot is kap a cracker, amelyben a rendszer éppen van.

Fokozottan igaz ez a Debianra, hiszen az általuk végzett módosítás által jelenleg így néz ki az OpenSSH verzió sztringje:


SSH-1.99-OpenSSH_3.0.2p1 Debian 1:3.0.2p1-6 (woody)


Mint látható a Debianosok jó munkát végeztek, hiszen az OpenSSH verziószámon felül (3.0.2p1) szerepel a disztribúció típusa és az ssh csomag teljes verziószáma (3.0.2p1-6). A verziószám itt különösen fontos, hiszen ebből nagy valószínűséggel megállapítható más csomagok állapota is, gondoljunk csak azokra, akik nem szelektíve frissítik a rendszerüket (csak adott csomagokat), hanem minden csomagot egyszerre (például apt-get upgrade segítségével).


Azt hiszem ez a kis változtatás hamar el fog tűnni a Debianból, hiszen a változtatás csak az ssh csomag újrafordításával lehetséges, viszont így elveszítjük az apt kényelmes szolgáltatásait.

( gyu v | 2002. 02. 12., k – 11:35 )

Vajon megköveznének azért a keménymag Debianosok, ha írnék egy minihowto-t arról, hogy ilyen jellegű apró "custom"izálások hogyan hajthatók végre a már a Debianban levô csomagokon?

Egyáltalán: Érdekelne vkit egy ilyen?

( gyu v | 2002. 02. 13., sze – 08:05 )

Úgy értem, hogy:
- Hogyan töltsd le a debian csomag forrását
- Hogyan módosíts a csomagkészítésen (Pl. extra saját pacsok hozzáadása, vagy a debian csomag maintainere által hozzáadott extra pacs -mint pl. itt ez a verziókiírás- eltávolítása)
- Ebbôl a módosított trutyiból hogy kapsz újra .deb-et.

Szóval, érdekel ez valakit?