Anfang des Monats wurde dieser Blogpost [0] veröffentlicht, der die Nutzung von SSH-Zertifikaten anstelle von SSH-Keys vorschlägt. Eine passende Diskussion auf Hacker News [1] gab es natürlich auch. [0] https://gravitational.com/blog/how-to-ssh-properly/ [1] https://news.ycombinator.com/item?id=22750850 On Fri, 17 Apr 2020 at 16:20, Jan Niehusmann <jan@hitnet.rwth-aachen.de> wrote:
Moin,
On Fri, Apr 17, 2020 at 01:35:47PM +0000, Xhonneux, René wrote:
unverschlüsselt unter ~/.ssh/id_rsa - eine Malware auf dem Rechner oder evtl. auch nur eine Sicherheitslücke im Browser, die Zugriff auf's Dateisystem erlaubt, und schon könnte der Schlüssel weg sein.
Was mich auf eine neue Frage bringt: Kennt jemand eine gute Lösung zum Blacklisten von SSH-Keys? Damit man, falls der Key geklaut wurde (oder man das vermutet), möglichst schnell auf möglichst vielen Rechnern diesen Key sperren kann.
Ich denke an irgendeine Art von Revocation-List, die man leicht auch über mehrere Rechner hinweg ausrollen kann.
Es gibt für die sshd_config die Konfigurationsoption RevokedKeys, die aber einfach auf eine Datei verweist. Damit ist das Verteilungsproblem noch nicht gelöst. Könnte man natürlich auch wieder irgendwie automatisieren, aber wenn man dafür basteln muss, macht das keiner, und wenn man was falsch macht, sperrt man sich aus.
Ohne jetzt lange über Details und mögliche Angriffsszenarien nachgedacht zu haben, stelle ich mir sowas vor wie die SSHFP-Einträge im DNS für HostKeys.
Grüße, Jan _______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de