|
|
 | openssh 3.3 erfaringer på Linux?
Fra : Troels Arvin |
Dato : 26-06-02 11:38 |
|
Hey,
Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så fald:
Spiller den godt?
(Jeg læste et sted, at der på nogle platforme er problemer relateret til
PAM, men det er muligvis kun på eksotiske platforme såsom HPUX(?).)
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
 Christian Laursen (26-06-2002)
| Kommentar
Fra : Christian Laursen |
Dato : 26-06-02 11:55 |
|
Troels Arvin <troels@arvin.dk> writes:
> Hey,
>
> Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så fald:
> Spiller den godt?
>
> (Jeg læste et sted, at der på nogle platforme er problemer relateret til
> PAM, men det er muligvis kun på eksotiske platforme såsom HPUX(?).)
Jeg kører med den på alle mine linux-maskiner, og der virker den fint.
Jeg bruger dog ikke passwordbaseret login, så jeg ved ikke, om PAM
virker eller ej.
Jeg har hørt om problemer med PAM, hvis der bruges MD5 passwords, hvor
det efter sigende muligvis virker, hvis man bruger gammeldags
crypt-passwords.
In other words, YMMV.
--
Med venlig hilsen
Christian Laursen
| |
Troels Arvin (26-06-2002)
| Kommentar
Fra : Troels Arvin |
Dato : 26-06-02 12:30 |
|
On Wed, 26 Jun 2002 12:55:03 +0200, Christian Laursen wrote:
> Jeg kører med den på alle mine linux-maskiner, og der virker den fint.
Tak.
> Jeg bruger dog ikke passwordbaseret login, så jeg ved ikke, om PAM
> virker eller ej.
Heller ikke her. Men hvis nu der var et problem med PAM, kunne det måske
give bøvl, også selvom at man ikke benytter password-autorisation. Fx.
kan PAM jo bruges til at begrænse en service's ressourceforbrug.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Peter Makholm (26-06-2002)
| Kommentar
Fra : Peter Makholm |
Dato : 26-06-02 11:58 |
|
Troels Arvin <troels@arvin.dk> writes:
> Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så fald:
> Spiller den godt?
Det virker for mig.
> (Jeg læste et sted, at der på nogle platforme er problemer relateret til
> PAM, men det er muligvis kun på eksotiske platforme såsom HPUX(?).)
Jeg har vist set en PAM-relateret fejlrapport på ssh i Debian, men nu
kan jeg ikke lige finde den.
--
Peter Makholm | Ladies and gentlemen, take my advice, pull down your
peter@makholm.net | pants and slide on the ice
http://hacking.dk | -- Sidney Freedman
| |
wzk (26-06-2002)
| Kommentar
Fra : wzk |
Dato : 26-06-02 12:20 |
|
> Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så fald:
> Spiller den godt?
Der er netop fundet en alvorlig, men endnu ikke offentliggjort
sikkerhedsfejl i den nuværende OpenSSH.
Den forventes først offentliggjort i næste uge, og i den forbindelse kommer
der en nye version.
Jeg ville helt klart vente til næste uge med en evt. opgradering.
wzk
| |
Ole Michaelsen (26-06-2002)
| Kommentar
Fra : Ole Michaelsen |
Dato : 26-06-02 12:27 |
|
wzk wrote:
> > Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så fald:
> > Spiller den godt?
>
> Der er netop fundet en alvorlig, men endnu ikke offentliggjort
> sikkerhedsfejl i den nuværende OpenSSH.
Naar du skriver nuvaerende - mener du saa 3.3p1 som Troels omtaler?
--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic
| |
 wzk (26-06-2002)
| Kommentar
Fra : wzk |
Dato : 26-06-02 14:40 |
|
> Naar du skriver nuvaerende - mener du saa 3.3p1 som Troels omtaler?
Her er et uddrag fra Theo de Raadt's buqtraq mail...
---snip----
There is an upcoming OpenSSH vulnerability that we're working on with
ISS. Details will be published early next week.
However, I can say that when OpenSSH's sshd(8) is running with priv
seperation, the bug cannot be exploited.
---snip----
Altsa skulle det v©¡re iorden, hvis man k©ªrer med privledge seperation
enabled...
Men hvis man "kan" vente til i n©¡ste uge med at installere er det jo det
nemmeste.
wzk
| |
Troels Arvin (26-06-2002)
| Kommentar
Fra : Troels Arvin |
Dato : 26-06-02 12:27 |
|
On Wed, 26 Jun 2002 13:19:31 +0200, wzk wrote:
> Der er netop fundet en alvorlig, men endnu ikke offentliggjort
> sikkerhedsfejl i den nuværende OpenSSH. Den forventes først
> offentliggjort i næste uge, og i den forbindelse kommer der en nye
> version.
>
> Jeg ville helt klart vente til næste uge med en evt. opgradering.
Prøv at læse
http://online.securityfocus.com/archive/1/278755/2002-06-23/2002-06-29/2
Jeg tolker det som om, at man I _høj_ grad skal få opgraderet til 3.3
inden på mandag.
At man efter på mandag bør opgradere igen, er så en anden sag.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Martin Ehmsen (26-06-2002)
| Kommentar
Fra : Martin Ehmsen |
Dato : 26-06-02 16:35 |
|
On Wed, 26 Jun 2002 13:27:17 +0200, Troels Arvin wrote:
> At man efter på mandag bør opgradere igen, er så en anden sag.
Hvorfor vente til mandag. Smut over til www.openssh.org og hent
openssh3.4 for fejlen (og meget andet) er rettet.
Har lige selv gjort det, og det gik smertefrit.
Martin
--
Young man, in mathematics you don't understand things, you just get used
to them.
von Neumann
| |
Peter Dalgaard BSA (26-06-2002)
| Kommentar
Fra : Peter Dalgaard BSA |
Dato : 26-06-02 12:28 |
|
"wzk" <wzk@e-mail.dk> writes:
> > Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så fald:
> > Spiller den godt?
>
> Der er netop fundet en alvorlig, men endnu ikke offentliggjort
> sikkerhedsfejl i den nuværende OpenSSH.
> Den forventes først offentliggjort i næste uge, og i den forbindelse kommer
> der en nye version.
>
> Jeg ville helt klart vente til næste uge med en evt. opgradering.
Jeg har lige installeret RPM'er fra
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/rpm/RH73/
med rpm -Uvh openssh-*3.3p1*
Det ser ud til at være gået smertefrit både på redhat 7.2 og 7.3.
Jeg har ikke nerver til at satse på at det ikke går galt i intervallet
mellem at sikkerhedsfejlen bliver offentliggjort og den nye version er
installeret overalt.
--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
Claus Rasmussen (26-06-2002)
| Kommentar
Fra : Claus Rasmussen |
Dato : 26-06-02 13:48 |
|
Peter Dalgaard BSA wrote:
> Jeg har ikke nerver til at satse på at det ikke går galt i intervallet
> mellem at sikkerhedsfejlen bliver offentliggjort og den nye version er
> installeret overalt.
Hmmm. Det kan godt være, at jeg er paranoid, men jeg kører med den
politk, at selv ssh kun er åben mod bestemte adresser. Det gør at
jeg kan sove lidt roligere om natten, når sådan noget sker.
-Claus
| |
Claus Rasmussen (26-06-2002)
| Kommentar
Fra : Claus Rasmussen |
Dato : 26-06-02 12:24 |
|
Troels Arvin wrote:
> Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så fald:
> Spiller den godt?
Jeg ikke prøvet 3.3, men jeg har tidligere selv bygget openssl+openssh på
linux, og det er noget BØVL ! Det kan så være, at det er blevet bedre siden.
> (Jeg læste et sted, at der på nogle platforme er problemer relateret til
> PAM, men det er muligvis kun på eksotiske platforme såsom HPUX(?).)
Jeg har endnu ikke set nogen RedHat opdateringer af ssh, så det kan være,
at RH ikke er påvirket af ssh buggen. Og indtil nu har vi jo kun Theo's
ord for, at den overhovedet er der. Og Theo er jo Theo...
(kan du forresten lokkes til at skifte tegnsæt til 8859-1. Ja, jeg ved godt
at 8859-15 er det "rigtige", men det ved min dist. ikke)
-Claus
| |
Jacob Bunk Nielsen (26-06-2002)
| Kommentar
Fra : Jacob Bunk Nielsen |
Dato : 26-06-02 16:37 |
|
Claus Rasmussen <clr@cc-consult.dk> writes:
> (kan du forresten lokkes til at skifte tegnsæt til 8859-1. Ja, jeg ved godt
> at 8859-15 er det "rigtige", men det ved min dist. ikke)
Jo, det gør den sikkert, hvis Troels brugte 'iso-8859-15' i stedet for
'iso885915'.
--
Jacob - www.bunk.cc
Cosmic ray particles crashed through the hard disk platter
| |
Claus Rasmussen (26-06-2002)
| Kommentar
Fra : Claus Rasmussen |
Dato : 26-06-02 16:46 |
|
Jacob Bunk Nielsen wrote:
> Jo, det gør den sikkert, hvis Troels brugte 'iso-8859-15' i stedet for
> 'iso885915'.
Åh, det er dét, der er galt. Jeg undrede mig ellers, da jeg var sikker
på, at jeg havde installeret iso-8859-15 tegnsættet.
-Claus
| |
Troels Arvin (26-06-2002)
| Kommentar
Fra : Troels Arvin |
Dato : 26-06-02 15:04 |
|
For lidt siden skrev jeg:
> Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så
> fald: Spiller den godt?
Jeg har problemer med Red Hat 6 installationer, med mindre jeg slår
Compression fra i sshd_config. Ellers ser det ud til at spille.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Peter Dalgaard BSA (26-06-2002)
| Kommentar
Fra : Peter Dalgaard BSA |
Dato : 26-06-02 19:32 |
|
Troels Arvin <troels@arvin.dk> writes:
> For lidt siden skrev jeg:
>
> > Er der nogen, der har erfaringer med openssh 3.3p1 på Linux? - I så
> > fald: Spiller den godt?
>
> Jeg har problemer med Red Hat 6 installationer, med mindre jeg slår
> Compression fra i sshd_config. Ellers ser det ud til at spille.
Det man øjensynlig lige skal bemærke er at der tilføjes en "sshd"
bruger i /etc/passwd. Rimeligt uproblematisk, med mindre man er i net
og der er en anden bruger med samme nummer...
--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
Rasmus Ladekjaer Ped~ (26-06-2002)
| Kommentar
Fra : Rasmus Ladekjaer Ped~ |
Dato : 26-06-02 16:26 |
|
Hvad er PAM ?
mvh Rasmus
| |
enrique (26-06-2002)
| Kommentar
Fra : enrique |
Dato : 26-06-02 16:30 |
| | |
Jacob Sparre Anderse~ (28-06-2002)
| Kommentar
Fra : Jacob Sparre Anderse~ |
Dato : 28-06-02 16:57 |
|
Troels Arvin skrev:
> Er der nogen, der har erfaringer med openssh 3.3p1 på Linux?
Ja. Der er bøvl med den på Linux/Alpha. 
Jacob
--
"DFSG's anti-diskriminations-klausul er knap nok den entropi
værd, det kræver at transmittere den." -- også Makholm
| |
|
|