[gelöst] ssh geht nicht mehr

[nepos]

Puh, dann versteh ichs im Moment leider auch nicht. Wenn du wirklich die aktuellen Versionen von openssl und openssh installiert hast, dann darf es eigentlich nicht mehr passieren, dass du mit ssh-keygen kompromittierte Keys erzeugen kannst.

[PASST]

Ich habe gerade nochmals die ssh installation mittels purge entfernt, anschließend das verzeichnis /etc/ssh gelöscht und alles wieder neu installiert. beim start von ssh erhalte ich weiterhin die meldung, dass die beiden keys blacklisted sind.

[nepos]

Zeig mal deine /etc/apt/sources.list bitte.

[PASST]

uname -a --> 2.6.18-6-686

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ etch main contrib non-free
deb-src http://ftp.de.debian.org/debian/ etch main contrib non-free

deb http://security.debian.org/ etch/updates main contrib non-free
deb-src http://security.debian.org/ etch/updates main contrib non-free

# deb http://www.debian-multimedia.org/ stable main

Den multimedia Eintrag habe ich jetzt gerade deaktiviert. Ich habe ihn gebraucht, um die cctv-software zoneminder zu installieren, weswegen ich überhaupt diese Testmaschine installiert habe. Jetzt wo er deaktiviert ist, habe ich ssh komplett per purge deinstalliert, anschließend das verzeichnis /etc/ssh gelöscht und alles wieder neu installiert. beim Start von ssh erhalte ich weiterhin die Meldung, dass die beiden Keys blacklisted sind.

[nepos]

Klingt jetzt doof, aber hast du da mal rebooted?
Und ist auch dein openssl-Paket auf dem neuesten Stand?

[PASST]

Ja, den Reboot hat das System alleine deswegen haben wollen, da es ein neues (?) image des Kernels installiert hat. Wie ich ja schon geschrieben habe, habe ich eine Neuinstallation von ssh durchgeführt. Dabei sollten alle dazugehörigen Pakete auch in der neuesten Version vorliegen. Könnte es denn Probleme mit i686 Paketen geben?

[goecke]

Hi

1. schau mal nach ob du wirklich die korrekte Version istalliert hast.

Code: Alles auswählen

vdr:~# apt-cache policy openssh-server
openssh-server:
  Installiert:1:4.3p2-9etch2
  Mögliche Pakete:1:4.3p2-9etch2
  Versions-Tabelle:
 *** 1:4.3p2-9etch2 0
        500 http://security.debian.org etch/updates/main Packages
        100 /var/lib/dpkg/status
     1:4.3p2-9 0
        500 http://ftp2.de.debian.org etch/main Packages

2.
dann die Keys löschen und neu erstellen lassen

Code: Alles auswählen

sudo -i 
cd /etc/ssh
rm ssh_host_rsa_key
rm ssh_host_rsa_key.pub
rm ssh_host_dsa_key
rm ssh_host_dsa_key.pub
dpkg-reconfigure openssh-server

und auf allen Clients die "known-hosts" Zeilen für diesen Server löschen
(oder ganz löschen)

und für Putty unter Windows :
HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys
(die Betreffenden Keys löschen)

Aber Achtung!
beim Verbinden über Unsichere Netze (alles ausser mein eigenes Lokales Netz)
muß die ID des Schlüssels überprüft werden, (per Telefon, Zettel, etc...),
sonnst weiß man nie ob die Gegenstelle nicht doch die Schäubles oder T-Spitzel sind!


HTH
Johannes

[PASST]

Hallo goecke - auch ein vdr user

es ist bei mir genau die selbe ssh-Version installiert.

Ich habe die Schlüssel gelöscht und neu erstellen lassen wie von die gezeigt. Aber die neuen Schlüssel werden sofort als blacklisted gekennzeichnet.

Was nun?

gruß
Peter

[nepos]

Und was sagt

Code: Alles auswählen

apt-cache policy openssl

Da sollte das rauskommen:

Code: Alles auswählen

openssl:
  Installed: 0.9.8c-4etch3
  Candidate: 0.9.8c-4etch3
  Version table:
 *** 0.9.8c-4etch3 0
        500 http://security.debian.org etch/updates/main Packages
        100 /var/lib/dpkg/status
     0.9.8c-4etch1 0
        500 ftp://ftp2.de.debian.org etch/main Packages

[PASST]

Es ist die identische openssl Version.

[nepos]

Was sagt

Code: Alles auswählen

ldd /usr/bin/ssh-keygen

?

Langsam bin ich echt ratlos, was bei dir da faul sein könnte...

Und poste bitte die Ausgabe von dem apt-cache-Aufruf hier mal.

[PASST]

Code: Alles auswählen

ldd /usr/bin/ssh-keygen
        linux-gate.so.1 =>  (0xffffe000)
        libresolv.so.2 => /lib/i686/cmov/libresolv.so.2 (0xb7f87000)
        libcrypto.so.0.9.8 => /usr/lib/i686/cmov/libcrypto.so.0.9.8 (0xb7e3d000)
        libutil.so.1 => /lib/i686/cmov/libutil.so.1 (0xb7e38000)
        libz.so.1 => /usr/lib/libz.so.1 (0xb7e23000)
        libnsl.so.1 => /lib/i686/cmov/libnsl.so.1 (0xb7e0b000)
        libcrypt.so.1 => /lib/i686/cmov/libcrypt.so.1 (0xb7dd9000)
        libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0xb7db0000)
        libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0xb7d22000)
        libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0xb7cfe000)
        libcom_err.so.2 => /lib/libcom_err.so.2 (0xb7cfb000)
        libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0xb7cf3000)
        libc.so.6 => /lib/i686/cmov/libc.so.6 (0xb7ba5000)
        libdl.so.2 => /lib/i686/cmov/libdl.so.2 (0xb7ba1000)
        libkeyutils.so.1 => /lib/libkeyutils.so.1 (0xb7b9d000)
        /lib/ld-linux.so.2 (0xb7fa1000)

Code: Alles auswählen

apt-cache policy openssl
openssl:
  Installiert:(keine)
  Mögliche Pakete:0.9.8c-4etch3
  Versions-Tabelle:
     0.9.8c-4etch3 0
        500 http://security.debian.org etch/updates/main Packages
     0.9.8c-4etch1 0
        500 http://ftp.de.debian.org etch/main Packages

Code: Alles auswählen

apt-cache policy openssh-server
openssh-server:
  Installiert:1:4.3p2-9etch2
  Mögliche Pakete:1:4.3p2-9etch2
  Versions-Tabelle:
 *** 1:4.3p2-9etch2 0
        500 http://security.debian.org etch/updates/main Packages
        100 /var/lib/dpkg/status
     1:4.3p2-9 0
        500 http://ftp.de.debian.org etch/main Packages

[nepos]

Und

Code: Alles auswählen

apt-cache policy libssl0.9.8

?

[Danielx]

Code: Alles auswählen

apt-cache policy openssl
openssl:
  Installiert:(keine)

openssl hast du also gar nicht installiert!

Was sagt denn (da ist ssh-keygen drin):

Code: Alles auswählen

apt-cache policy openssh-client

Gruß,
Daniel

[PASST]

Code: Alles auswählen

apt-cache policy openssh-client
openssh-client:
  Installiert:1:4.3p2-9etch2
  Mögliche Pakete:1:4.3p2-9etch2
  Versions-Tabelle:
 *** 1:4.3p2-9etch2 0
        500 http://security.debian.org etch/updates/main Packages
        100 /var/lib/dpkg/status
     1:4.3p2-9 0
        500 http://ftp.de.debian.org etch/main Packages

[armin]

Das ist viel interessanter:

Und

Code: Alles auswählen

apt-cache policy libssl0.9.8

?

Genau da werden nämlich die Schlüssel eigentlich erzeugt. Ich würde ja was drauf Wetten, dass da als Version nicht 0.9.8c-4etch3 bei raus kommt.
Wenn doch dann gib uns auch nochmal die Ausgabe von

Code: Alles auswählen

ldd /usr/bin/openssl

[PASST]

Code: Alles auswählen

apt-cache policy libssl0.9.8
libssl0.9.8:
  Installiert:0.9.8g-8
  Mögliche Pakete:0.9.8g-8
  Versions-Tabelle:
 *** 0.9.8g-8 0
        100 /var/lib/dpkg/status
     0.9.8c-4etch3 0
        500 http://security.debian.org etch/updates/main Packages
     0.9.8c-4etch1 0
        500 http://ftp.de.debian.org etch/main Packages

Code: Alles auswählen

ldd /usr/bin/openssl
ldd: /usr/bin/openssl: Datei oder Verzeichnis nicht gefunden

[goecke]

Code: Alles auswählen

apt-cache policy libssl0.9.8
libssl0.9.8:
  Installiert:0.9.8g-8
  Mögliche Pakete:0.9.8g-8
  Versions-Tabelle:
 *** 0.9.8g-8 0
        100 /var/lib/dpkg/status
     0.9.8c-4etch3 0
        500 http://security.debian.org etch/updates/main Packages
     0.9.8c-4etch1 0
        500 http://ftp.de.debian.org etch/main Packages

Code: Alles auswählen

ldd /usr/bin/openssl
ldd: /usr/bin/openssl: Datei oder Verzeichnis nicht gefunden

Das sieht so aus, als ob du eine "fremde" libssl hast !

die aus etch ist die 0.9.8c-4etch3.

wenn du keinen triftigen Grund für eine "fremde" lib hast, solltest du
mit sowas wie

Code: Alles auswählen

aptitude install libssl0.9.8=0.9.8c-4etch3

den Rechner dazu "zwingen" die korrigierte etch version zu verwenden.

gruß
Johannes

[nepos]

Du hattest da wohl irgendwann unstable/testing in deinen Sources...
Die Version 0.9.8g ist jedenfalls erst dort vorhanden...
Fix das mal, wie es vorgeschlagen wurde!

[armin]

Code: Alles auswählen

openssl (0.9.8g-8) unstable; urgency=high

  * Don't add extentions to ssl v3 connections.  It breaks with some
    other software.  (Closes: #471681)

 -- Kurt Roeckx <kurt@roeckx.be>  Sun, 23 Mar 2008 17:50:04 +0000

Tja, wer auch stable und testing mischen muss...
Das dumme ist, das genau das Problem nicht zum ersten mal auftaucht.

[PASST]

Welche meiner Sourcen war den verantwortlich dafür, dass hier die testing installiert wurde?
Die inzwischen auskommentierte multimedia?

[nepos]

Eher nicht. Wenn ja, hätte ich das gleiche Problem

[PASST]

Hm, ich weiß jetzt auch nicht mehr, welche sourcen ich kurzfristig verwendet hatte.

Auf jeden Fall läuft es jetzt wieder ohne Probleme.

Vielen Dank an alle, die geholfen haben und die Geduld hatten diesen dämlichen Fehler zu finden.

Gruß
Peter

[ah966]

Hallo!

Hatte genau das gleiche Problem nach einem Update:
Vermutlich durch die Installation von OpenVPN wurde wohl die libssl0.9.8g-8 installiert.

Habe nun mal
- OpenVPN deinstalliert,
- die libssl0.9.8g-8 mit der libssl0.9.8c-4etch3 ersetzt
- unter /etc/ssh/ die Dateien ssh_host_* gelöscht
- ein dpkg-reconfigure openssh-server durchgeführt
- unter Windows in der Registry, wie angegeben, die Putty SshHostKeys gelöscht.

Danach hat alles wieder so funktioniert wie es sollte!
Besten Dank Euch allen!

@PASST:
Du solltest den Thread auf [gelöst] setzen.