Kategori Security

OpenSSH Fingerprinte im DNS

Sonntag, November 27th, 2011

Jetzt habe ich endlich mal eine einfache Anleitung gefunden um OpenSSH Fingerprinte im DNS zu hinterlegen (RFC4255).

Denn ssh-keygen kann diereckt den für BIND nötigen SSHFP record erstellen.

root@ns01:~# ssh-keygen -r ns01.caix.de -f /etc/ssh/ssh_host_rsa_key.pub
ns01.caix.de IN SSHFP 1 1 e208441777cba0459c52e8680b617b254183f711
root@ns01:~# ssh-keygen -r ns01.caix.de -f /etc/ssh/ssh_host_dsa_key.pub
ns01.caix.de IN SSHFP 2 1 0476a2a57fb720fbee586b78e28490929501d8c6

Nach dem veröffentlichen im DNS kann mal den Record mit dig abrufe.
dig -t SSHFP ns01.caix.de

;; ANSWER SECTION:
ns01.caix.de. 7200 IN SSHFP 1 1 E208441777CBA0459C52E8680B617B254183F711
ns01.caix.de. 7200 IN SSHFP 2 1 0476A2A57FB720FBEE586B78E28490929501D8C6

Testen kann mal das ganze dann mit der Option VerifyHostKeyDNS und -v für den Debug mode. Die zwei entscheiden Zielen habe ich unten aufgeführt.

ssh root@ns01.caix.de -o VerifyHostKeyDNS=yes -v
...
debug1: found 2 insecure fingerprints in DNS
debug1: matching host key fingerprint found in DNS
...

Quelle: bd.hauke-lampe.de

SSH agent eines andren Users

Donnerstag, September 1st, 2011

Heute bedien wir uns an einem SSH AGENT eines andren Users.

So sieht die ausgabe bei einem User aus.
user@pc:~$ env | grep SSH
SSH_AGENT_PID=1719
SSH_AUTH_SOCK=/tmp/keyring-AyZCBd/ssh

Stellen wir uns vor, wir haben uns per SSH zugang zum dem Rechner des Users gemacht, und wissen das er gerade ein gnome-panel hat. Es kann natürlich auch eine andere pid des Users benützt werden.

root@pc:~# cat /proc/$(pidof gnome-panel)/environ | xargs -0n1 echo | grep SSH
SSH_AGENT_PID=1719
SSH_AUTH_SOCK=/tmp/keyring-AyZCBd/ssh

root@pc:~# SSH_AUTH_SOCK=/tmp/keyring-AyZCBd/ssh ssh user@chr.istoph.de

Nun kann eine Verbindung mit dem agent des Users aufgebaut werden.

DNS Antworten zu groß

Freitag, Mai 6th, 2011

Heute hatte ich ein sehr seltsames Problem mit DNS. Da ich auf google docs nicht mehr zugreifen konnte und Chromium mir folgende Antwort lieferte: Fehler 105 Die DNS Adresse des Servers kann nicht aufgelöst werden.

Ein dig auf die Domain ergab das die anfrage zurückgewiesen worden ist und eine TCP anfrage gestellt wurde. Dies lies mich darauf schlissen das Bind nicht auf den TCP Port lissent, bzw. eine FW dazwischen war.
dig @192.168.0.1 docs.google.com
;; Truncated, retrying in TCP mode.

; <<>> DiG 9.7.0-P1 <<>> @192.168.0.1 docs.google.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Nach dem ich die Firewall auch für TCP geöffnet habe kamm auch die folgende Große Antwort zurück. Das erklärte auch warum dies vorher noch nicht aufgetreten ist.

; <<>> DiG 9.7.0-P1 <<>> @192.168.0.1 docs.google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37063 ;; flags: qr rd ra; QUERY: 1, ANSWER: 16, AUTHORITY: 13, ADDITIONAL: 0

;; QUESTION SECTION:
;docs.google.com. IN A

;; ANSWER SECTION:
docs.google.com. 84462 IN A 74.125.230.103
docs.google.com. 84462 IN A 74.125.230.104
docs.google.com. 84462 IN A 74.125.230.105
docs.google.com. 84462 IN A 74.125.230.106
docs.google.com. 84462 IN A 74.125.230.107
docs.google.com. 84462 IN A 74.125.230.108
docs.google.com. 84462 IN A 74.125.230.109
docs.google.com. 84462 IN A 74.125.230.110
docs.google.com. 84462 IN A 74.125.230.111
docs.google.com. 84462 IN A 74.125.230.96
docs.google.com. 84462 IN A 74.125.230.97
docs.google.com. 84462 IN A 74.125.230.98
docs.google.com. 84462 IN A 74.125.230.99
docs.google.com. 84462 IN A 74.125.230.100
docs.google.com. 84462 IN A 74.125.230.101
docs.google.com. 84462 IN A 74.125.230.102

;; AUTHORITY SECTION:
. 26616 IN NS a.root-servers.net.
. 26616 IN NS b.root-servers.net.
. 26616 IN NS c.root-servers.net.
. 26616 IN NS d.root-servers.net.
. 26616 IN NS e.root-servers.net.
. 26616 IN NS f.root-servers.net.
. 26616 IN NS g.root-servers.net.
. 26616 IN NS h.root-servers.net.
. 26616 IN NS i.root-servers.net.
. 26616 IN NS j.root-servers.net.
. 26616 IN NS k.root-servers.net.
. 26616 IN NS l.root-servers.net.
. 26616 IN NS m.root-servers.net.

;; Query time: 0 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Fri May 6 11:17:03 2011
;; MSG SIZE rcvd: 500

ssh -A root@server

Donnerstag, März 3rd, 2011

Wie verbindet man sich mit seinem privaten ssh key über einen zwischen Server.

Wenn man sich vom Laptop mit ssh auf Server B mit seinem Privaten Key verbinden will, muss man die Option -A angeben. Diese für die Authentifizierung über den Server A durch.

Hier noch mal ein Beispiel:
user@laptop:~$ ssh -A root@serverA
root@serverA:~# ssh root@serverB
root@serverB:~#

Neulich: Passwort in der Suchleiste eingegeben

Mittwoch, Januar 5th, 2011

Als ich vergangene Woche gesehen habe wie Jemand ein Passwort einfach in der Google Suchleiste eingeben hat, weil er zufaul war ein Nodpad zu öffnen, habe ich fast die Krise bekommen.

Ich habe das dann einfach mal mit geschnitten. Wenn man z.b. 123456 in der Suchleiste angibt wird folgendes Ergebnis an Google gesendet.

Großes Bild