[manse-modeemi] Re: ssh-uudelleenasennus, avaimet vaihtuivat

[Karri Huhtanen]

Jussi Hamalainen <count@theblah.org> writes:

> Olitte sitten mitä mieltä asiasta tahansa, päätin menettää hermoni
> lopullisesti OpenSSH:n kanssa ja vaihtaa sen Modeemin koneilla
> siihen Oikeaan<tm> SSH:n. Tästä nyt sitten seurasi se, että avaimet
> vaihtuivat pepperillä, sihillä, fantalla ja spritellä.
>
> Pahoittelen tästä aiheutuvaa harmia ja pahoinpitelen urputtajat ja
> ne, jotka vielä asentelevat Modeemin koneille OpenSSH:ta (poislukien
> Debian).

Samalla rikkoutui ainakin RSA-avaimiin pohjautuva autentikaatio, koska
SSH2 pitää eri paikassa ja eri formaatissa kyseisiä julkisia
avaimia. Tässä korjausratkaisu vähentämään yleistä harmia.

OpenSSH:n julkinen avain muutetaan koneella, jossa on OpenSSH,
SECSH-tyyppiseksi (SSH-SSH2) avaimeksi esim. näin:

ssh-keygen -e -f /home/whatever/id_rsa.pub > id_rsa_koneennimi.pub

Julkinen avain sitten kopioidaan Modeemin koneilla ~/.ssh2:n alle
vaikka tuolla samalla nimellä (id_rsa_koneennimi.pub).

Tämän jälkeen tarvitsee hieman säätää tiedostoa ~/.ssh2/authority,
jonne sitten lisäillään tiedostonnimet noihin autentikointiin
käytettäviin julkisiin avaimiin vaikka tähän tyyliin:

% cat ~/.ssh2/authority
Key id_rsa_koneennimi1.pub
Key id_rsa_koneennimi2.pub
%

Tuota voi toki sitten rajoittaa tarkemmin, että millä avaimella voi
tulla sisälle mistä koneelta jne. Tuo ylläoleva toimii niin, että
riittää, että on kutakin julkista avainta vastaava salainen avain
hallussa.

IMO wumbaa pitäisi antaa sellaisille säätäjille, jotka rikkovat
juttuja kertomatta niihin korjausratkaisuja.

-- 
Karri Huhtanen