Debian etch, actualizando a la version de openssh-server 4.3p2-9etch2
Hay que actualizar a esta versión de openssh-server ya que hay un problema de seguridad con las host keys o llaves de las maquinas, las llaves afectadas son las que fueron generadas con una version antigua de Openssl, no voy a entrar en detalle con respecto a esto, pero para todos los sysadmin es importante que este actualización se haga, especialmente si tienen el puerto 22 de SSH abierto al publico. No actualizando se corre el riesgo de que personas obtengan acceso al servidor.
Desde hace ya unos días al actualizar el sistema salían los paquetes mencionados abajo, y estos paquetes no se podían actualizar con el comando apt-get upgrade
openssh-blacklist (0.1.1) …
openssh-client (4.3p2-9etch2) …
openssh-server (4.3p2-9etch2) …
Con el comando apt-get dist-upgrade, estos paquetes se instalaban, al momento de instalar debian informa información de esta nueva versión de openssh y la razón por la cual hay que actualizar, tome un print screen de la imagen y la pueden ver abajo:
Despues de actualizar, hay que tomar en cuenta que si uno tenia guardadas las llaves de este servidor ya sea en otro servidor o en el programa que uno usa para conectarse por ssh a los servers, al momento de conectarnos al servidor que actualizamos nos va a dar una alarma diciendo que la llave cambio, esto es totalmente normal, hay que limpiar el archivo /root/.ssh/know_hosts para que al momento de ingresar nuevamente al server que actualizamos guardemos la nueva llave y ya no nos muestre la alarma.
A mi me afecto mas, ya que yo tenia habilitado en el server que actualice, en el archivo /root/.ssh/authorized_keys tenia agregadas llaves de muchos servidores, las cuales el servidor actualizado toma a las llaves de estos servidores como llaves vulnerables y comprometidas, debido a esto, al momento de intentar conectarme desde un servidor NO actualizado, me rechaza la conexión, y tengo que ingresar la contraseña del usuario, cuando antes ingresaba automáticamente. Esto quiere decir que tuve que actualizar todos los servidores que se conectaban a este server que actualice, porque de lo contrario el servidor las detectaba como maquinas vulnerables y no las dejaba entrar sin ingresar la contraseña.
Después de actualizar pueden ejecutar el comando:
ssh-vulnkey -a
Con este comando van a ver todas las llaves del servidor y de otros servidores que son vulnerables y que están grabadas en el servidor.
Actualicen sus servers, este upgrade es uno de los mas importantes de este mes!
Temas que te pueden interesar:
Deja tu Comentario
