OpenSSH 8.8 Update - Putty Versions Hinweis

Mitglied: hacktor
Moin zusammen,
folgendes ist mir gerade selbst auf die Füße gefallen:

Bekannt ist ja das OpenSSH ja die schon lange als unsicher geltenden ssh-rsa Keys basierend auf SHA1 als deprecated gekennzeichnet hat. Ab OpenSSH Version 8.8p1 wurde nun per Default der ssh-rsa public key Algorithmus mit SHA1 entfernt. Die PubkeyAcceptedAlgorithms Direktive enthält diesen Algorithmus also nicht mehr wenn die Option in der Config nicht explizit aufgeführt wird, soweit so gut.

Alle meine Keys waren auch schon lange auf SHA512 Stand.

Beachten sollte man aber nun das man Putty in einer Version >= 0.75 verwenden sollte, also mindestens 0.75 oder neuer, da die älteren Versionen bei diesen RSA Typen noch den SHA1 Algorithmus beim Login verwenden und der Server dies dann ablehnt. Meine Version hatte dann leider noch die 0.74 aus 2020 und dann kam es am Server zur Meldung im journal:
da dachte ich zuerst, kann doch nicht sein, mein Key ist doch schon lange up todate mit SHA512... Hmmm also mal in die Change-Logs von Putty geschaut und ....

Ab Version 0.75 wurden in Putty nämlich diesbezüglich Änderungen vorgenommen

https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html

  • Upgraded default SSH key fingerprint format to OpenSSH-style SHA-256.
  • Upgraded private key file format to PPK3, with improved passphrase hashing and no use of SHA-1.


Wenn ihr also auch darüber stolpert => Putty aktualisieren und die Auth mittels Public Key klappt wieder wie gewohnt sofern der Key auch tatsächlich nicht mit SHA1 erstellt wurde.


Sollte man aus welchem Grund auch immer noch alte Putty Versionen oder Keys mit SHA1 nutzen, kann man das Nutzen der unsicheren Keys in der sshd_config auch wieder aktivieren, was man aber wirklich nur im absoluten Ausnahmefall und höchstens übergangsweise machen sollte.

Content-Key: 1373660060

Url: https://administrator.de/contentid/1373660060

Ausgedruckt am: 26.10.2021 um 18:10 Uhr

Mitglied: colinardo
colinardo 13.10.2021 aktualisiert um 11:05:49 Uhr
Goto Top
Nur zur Info/Ergänzung zum gleichen Thema:

Aktuelle WinSCP Versionen sind auch von dem Update von OpenSSH auf 8.8p1 betroffen wenn man sich per ssh-rsa2 Schlüssel einwählen möchte, man siehe dazu folgende Bugtracker Einträge

Bug 1952 – Support rsa-sha2-256 and rsa-sha2-512 SSH public key algorithms

Cannot connect with publickey since openssh 8.8p1-1

Ab Version 6 die zum jetzigen Zeitpunkt noch nicht final ist wurde der Bug behoben.

Als temporärer Workaround wird das gleiche Empfohlen das @hacktor oben schon genannt hat.

Grüße Uwe
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server10 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Speicherkarten (SD) im Netzwerk verfügbar machen (NAS) gelöst mathuVor 1 TagFrageSpeicherkarten7 Kommentare

Guten Morgen liebe Gemeinde :-) Ich habe eine Frage zu NAS Speichersystemen mit Speicherkartenkunktion. Bisher haben wir die folgenden Geräte von Synology (EDS14) genutzt. Diese ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...