SCI (RPTU-KL): Sicherheit

Sicherheit

Aus Sicherheitsgründen sollten Sie sich nur über kryptographisch gesicherte (verschlüsselte) Protokolle einloggen, um das Abhören oder Manipulieren von Passwörtern oder Daten zu vermeiden.

Fingerprints

Liste der einheitlichen SSH-Fingerprints seit 26.02.2024 für tux{1,2,3,5,6,8,9}:

RSA	`SHA256:fTTLVdw9wTmw7VvZzmxUGqGfZMG0AdaUxks0CgBRj9M`
ECDSA	`SHA256:JC/1gj/B3qfuCtdoSK+rPYVT78eTo1Ow2sBBGTNdP9Y`
ED25519	`SHA256:qrOhSlUOR1Iu+49zNKOhYFZsWOuNnzZuHMNtkTFGqG4`

Änderung des SSH-Host-Keys

Die Server tux{1,2,5,6,9} des Ausbildungsclusters am SCI wurden Anfang Mai 2012 auf virtuelle Maschinen umgestellt. Dabei wurden auch die SSH-Host-Keys aller Server vereinheitlicht
und es kann deshalb zu folgender Warnung beim ersten SSH-Login kommen:

ssh p_muster@tux9.cs.uni-kl.de @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the RSA key sent by the remote host is 85:70:0d:ca:b8:50:bb:31:9b:50:88:a2:25:25:ff:1d Please contact your system administrator. Add correct host key in /home/p_muster/.ssh/known_hosts to get rid of this message. Offending RSA key in /home/p_muster/.ssh/known_hosts:96 remove with: ssh-keygen -f "/home/p_muster/.ssh/known_hosts" -R tux9 RSA host key for tux9 has changed and you have requested strict checking. Host key verification failed. Exit 255

Ihr Rechner mit dem Sie Verbindung aufbauen führt eine Liste, der ihm bisher bekannten SSH-Host-Keys. Unter Linux wird diese Liste normalerweise in der Datei ~/.ssh/known_hosts geführt.
Um den neuen Host-Key zu akzeptieren müssen Sie zuerst die alten Einträge entfernen!
Dazu können Sie entweder folgendes Script in der Bash-Shell:

for i in tux{1..9} ; do for j in $i $i.{cs,informatik}.uni-kl.de `gethostip -d $i.informatik.uni-kl.de` ; do ssh-keygen -R $j ; done ; done

oder die expandierten Befehlssequenzen in der Shell Ihrer Wahl benutzen:

ssh-keygen -R tux1 ssh-keygen -R tux1.cs.uni-kl.de ssh-keygen -R tux1.informatik.uni-kl.de ssh-keygen -R 131.246.161.65 ssh-keygen -R tux2 ssh-keygen -R tux2.cs.uni-kl.de ssh-keygen -R tux2.informatik.uni-kl.de ssh-keygen -R 131.246.161.66 ssh-keygen -R tux3 ssh-keygen -R tux3.cs.uni-kl.de ssh-keygen -R tux3.informatik.uni-kl.de ssh-keygen -R 131.246.161.67 ssh-keygen -R tux4 ssh-keygen -R tux4.cs.uni-kl.de ssh-keygen -R tux4.informatik.uni-kl.de ssh-keygen -R 131.246.161.196 ssh-keygen -R tux5 ssh-keygen -R tux5.cs.uni-kl.de ssh-keygen -R tux5.informatik.uni-kl.de ssh-keygen -R 131.246.161.198 ssh-keygen -R tux7 ssh-keygen -R tux7.cs.uni-kl.de ssh-keygen -R tux7.informatik.uni-kl.de ssh-keygen -R 131.246.161.186 ssh-keygen -R tux8 ssh-keygen -R tux8.cs.uni-kl.de ssh-keygen -R tux8.informatik.uni-kl.de ssh-keygen -R 131.246.161.185 ssh-keygen -R tux9 ssh-keygen -R tux9.cs.uni-kl.de ssh-keygen -R tux9.informatik.uni-kl.de ssh-keygen -R 131.246.161.187

Anpassung am Beispiel von tux9

ssh-keygen -R tux9 ssh-keygen -R tux9.cs.uni-kl.de ssh-keygen -R tux9.informatik.uni-kl.de ssh-keygen -R 131.246.161.187 ssh p_muster@tux9.cs.uni-kl.de

The authenticity of host 'tux9 (131.246.161.187)' can't be established. ECDSA key fingerprint is 98:ca:79:da:bc:e2:6a:9b:d5:bd:8f:46:a0:19:63:e2. Are you sure you want to continue connecting (yes/no)?

Bestätigen Sie mit "yes" wenn der Fingerabdruck mit dem auf dieser Webseite veröffentlichten, also ECDSA98:ca:79:da:bc:e2:6a:9b:d5:bd:8f:46:a0:19:63:e2, übereinstimmt.
Der neue SSH-Key für tux9 wurde damit in die Datei ~/.ssh/known_hosts übernommen und die Verbindung sollte beim nächsten SSH-Login ohne Warnung hergestellt werden.

Übergeordnete Seite:

Rechnerzugang

Accounts, Terminals, Software, ...

Feedback zu dieser Seite

Email an den Verantwortlichen dieser Seite (sci@informatik.uni-kl.de)