Diskussion: Identische SSH Keys bei Hetzner

GwenDragon

Registered User
Wer ein bisschen (über)vorsichtig ist, generiert die SSH-Keys sofort nach Bereitstellung(Installation neu.

Oder lasst ihr etwa das so? Ich nicht.
 

Joe User

Zentrum der Macht
Wer Provider/3rdParty-Images verwendet hat eh verloren, wobei die ED25519-Hostkeys kein grosses Problem darstellen, da sie abgesehen von entsprechend (um)konfigurierten OpenSSH-Clients und der Putty-Dev derzeit nicht verwendet werden.

Da waren die in der Vergangenheit von mehreren Providern zu "Servicezwecken" in den Images hinterlegten Keys (mit lächerlichen 512Bit DSA oder max 1024Bit RSA) für root erheblich kritischer.

Rootkits gab es auch schonmal in Providerimages.

Wer weiss, welche Backdoors oder sonstige Malware sonst noch in so manchen Providerimages lauern...



Fazit: Grundsätzlich die Betriebssysteme aus vertrauenswürdiger Quelle per Rescuesystem manuell selbst aufsetzen.
 

GwenDragon

Registered User
Dass die Schlüssellängen erhöht/angepasst gehören, weiß man das nicht wenn man einen eigenen Server administriert und sich um Sicherheit kümmert?
Wer das nicht beachtet und sich nicht einliest, hat doch eh verloren, was Datensicherheit und -schutz anbelangt.
 

Joe User

Zentrum der Macht
Die Keys stammten/stammen nicht von den Kunden, sondern wurden/werden von den Providern in die Images integriert um den Supportmitarbeitern einen sofortigen unkomplizierten root-Zugang zu verschaffen, ohne dass man dem Kunden erläutern muss wie er dem Supporter root-Zugang gewährt. Kundenservice wurde/wird das bei den Providern genannt...

Ist auch heute nicht unüblich, scheint auch kaum jemanden zu interessieren...



Security ist halt den meisten Kunden völlig egal, im Gegenteil, oft wird die ohnehin mangelhafte Security der Providerimages (und der Standardinstallationen fast aller Distributionen) von den Kunden noch zusätzlich geschwächt oder gar nahezu komplett ausgehebelt.



Gibt es einen Provider der abgespeckte und abgesicherte Images anbietet?
Mir ist keiner bekannt, egal ob dediziert oder managed oder welche Preisklasse...
 

TobsA13

New Member
Die Keys stammten/stammen nicht von den Kunden, sondern wurden/werden von den Providern in die Images integriert um den Supportmitarbeitern einen sofortigen unkomplizierten root-Zugang zu verschaffen, ohne dass man dem Kunden erläutern muss wie er dem Supporter root-Zugang gewährt. Kundenservice wurde/wird das bei den Providern genannt...
Das ist bei Hetzner zumindest Quatsch. Hetzner bietet keinerlei Software Support für Rootserver. Und brauchst deswegen kein Zugang
 

DjTom-i

Member
Soweit ich richtig gelesen habe waren das Daemon Keys in /etc/ssh und nicht Login Keys in /root/.ssh .

Und selbstverständlich gibt es Provider die Ihre Arbeit nach bestem Wissen und Gewissen verrichten. Es gibt sogar welche die Ihre Images gänzlich selbst bauen.

*kopfschüttel* :eek:
 

Tolive

New Member
@TobsA13 Ja, mir liegen auch keine Informationen diesbezüglich vor. Ein Anbieter der das gemacht hat und wahrscheinlich auch noch macht, ist OVH.
 

DeaD_EyE

Blog Benutzer
Das ist bei Hetzner zumindest Quatsch. Hetzner bietet keinerlei Software Support für Rootserver. Und brauchst deswegen kein Zugang
Dann stellt sich die Frage wieso die das gemacht haben. Wieso haben die das gemacht, wenn sie keinen Zugang auf der Kiste benötigen, da Hetzner ja keinen Support anbietet.
 

Joe User

Zentrum der Macht
Das ist bei Hetzner zumindest Quatsch. Hetzner bietet keinerlei Software Support für Rootserver. Und brauchst deswegen kein Zugang
Das habe ich nirgendwo und zu keiner Zeit behauptet!
Bitte ziehe meine Aussagen nicht aus dem Zusammenhang, das hilft Niemandem weiter und ich reagiere auf soetwas gerne sehr allergisch...
 

Joe User

Zentrum der Macht
Und selbstverständlich gibt es Provider die Ihre Arbeit nach bestem Wissen und Gewissen verrichten. Es gibt sogar welche die Ihre Images gänzlich selbst bauen.
Was absolut Nichts über deren Qualität oder gar Sicherheit aussagt...

*kopfschüttel* :eek:
 

DjTom-i

Member
Dein Sicherheits- und Qualitätsgeblubber hört genau dann auf wenn ein Rootserver einem Endkunden bereitgestellt wird oder so leckere glibc CVE oder Shellshock Dinge rauskommen.

Da kann keiner was dran machen auch Joe Gott nicht.

Aber seis drum du bist der Beste, alle -wirklich restlos alle- anderen können nix.
 

Joe User

Zentrum der Macht
Da Du offenbar von Dir selbst genauso überzeugt bist wie Du es mir von mir vorwirfst, mach doch mal Butter bei die Fische und liste Deine Änderungen/Patches gegenüber einer Standardinstallation von FreeBSD 10.2 oder Gentoo 2011.0 auf. Vielleicht gehörst Du ja wirklich zu den sehr wenigen besseren Anbietern. Dann bleibt allerdings noch die Frage offen, warum Du Dich über eine berechtigte Kritik an Deinen Mitbewerbern so völlig unnötig aufregst...
 

DjTom-i

Member
Was möchtest du mir jetzt erzählen? Das eine Gentoo stage3 Installation mit openssh sicherer als eine Debian debootstrap Installation mit openssh ist? Oder das womöglich auch noch FreeBSD viel besser ist? Ich baue Images für sämtliche Linux Os (Debian, Ubuntu, Centos, OpenSuse, Oracle, Scientific, Gentoo, etc.) auf dem Consumermarkt. Und keines dieser Images benötigt irgendwelche "patches" die über eine normale Konfiguration der Daemons/Dienste hinausgeht. Tausende Server laufen mit von mir gebauten Images. Alles natürlich total unsicher weil Joes patches fehlen... Oh mann... Popcorn for free für alle.

Du möchtest mir erzählen das die glibc Lücke oder die Shellshock Lücke mit einem deiner hochsicherheits "patches" erfasst worden wäre? Dann Applaus, Godmode on.

Zum Schluß wirst du eh feststellen das FreeBSD über allem steht ^^

Jegliche deiner "patches" sind nix wert sofern ganz andere Scheunentore plötzlich durch neue Exploits offenstehen.. Das wollte ich damit sagen. War schon immer so und bleibt auch immer so.
 

dermarlo

New Member
Die Keys stammten/stammen nicht von den Kunden, sondern wurden/werden von den Providern in die Images integriert um den Supportmitarbeitern einen sofortigen unkomplizierten root-Zugang zu verschaffen, ohne dass man dem Kunden erläutern muss wie er dem Supporter root-Zugang gewährt. Kundenservice wurde/wird das bei den Providern genannt...
Das ist der ursprüngliche und eigentliche Schwachsinn, den du verzapft hast :) Mit dem ursprünglichen Thema hat diese verallgemeinernde und damit haltlose Unterstellung wohl schwerlich etwas zu tun.

Dass du jetzt jeglich Kritik daran attackierst, während deine grundsätzliche Behauptung schon vollkommen am Thema vorbei war, ist zwar typisch aber trägt zum Thema auch nichts bei. Stattdessen reißt du jetzt eine Grundsatzdiskussion über die (Un-)Sicherheit von Standard-Betriebssystemen vom Zaun - bravo, großes Troll-Kino :).
 

Joe User

Zentrum der Macht
@dermarlo
Die beiden Posts vor dem von Dir zitierten Post gehören dazu und dann ist meine Aussage auch korrekt. Derartige Vorfälle sind in den vergangenen 20 Jahren mehrfach publik geworden und nicht wegzudiskutieren, auch wenn es manchem hier nicht schmecken mag.
 
Top