[SSH] OpenSSH updaten, hoe?

Ik heb nu al enkele keren geprobeerd remote (via SSH dus) mijn SSH deamon te updaten.

Ik ondernam daarbij de volgende stappen:
• Download package openssh-3.4p1.tar.gz
• Pak package uit
• ./configure --sysconfdir=/etc/ssh
• make
• make install
• /etc/ssh/sshd_config nakijken
• alle ssh-shells disconnecten
• nieuwe connectie uitgooien

En nu komt het:
Ik kan hierna dus niet meer inloggen.

Als ik inlog met mijn username en passphrase dan zegt sshd gewoon keihard 'access denied'. Ik kan dit dan alleen nog maar fixen vanaf de console door de originele sshd terug te zetten. Dan draait alles direct weer prima.

Waar ga ik nu de fout in?

Tevens wil ik de overstap maken naar de inmiddels standaard priviledge seperated sshd, maar ik heb begrepen dat ik hier verder niets aparts voor hoef in te stellen nadat de deamon is geupdate.

Slack 8.1 op kernel 2.4.19
Upgrade van 3.2.3p1 naar 3.4p1
Een van de laatste OpenSSL (0.9.6e) succesvol geinstalleerd ivm malformed key remote buffer overflow exploit.

[ Voor 0% gewijzigd door Booster op 22-09-2002 13:18 . Reden: versienummers :) ]

mhhh... dat zou ik eens moeten onderzoeken dan.

Je zou toch zeggen dat hij daar standaard wel /etc/shadow voor pakt?

Mark schreef op 20 september 2002 @ 00:32:
Als je perse toch openssl met de hand wilt compileren op Slackware ipv de geupdate packages te gebruiken:

code:

1 2	./configure --with-md5-passwords --disable-suid-ssh --sysconfdir=/etc/ssh --with-tcp-wrappers --with-4in6 --prefix=/usr

Dank Dit ga ik uiteraard opnemen in de logbooks.
Waar had je dit exact gevonden?

Verwijderd schreef op 19 september 2002 @ 23:41:
Kijk eens op de ftp naar patches. Daar zijn door Slackware beschikbaar geslelde fixes te downen voor de packages die je noemt.
ftp://ftp.bit.nl/mirror/s...are-8.1/patches/packages/

Daar had ik inderdaad ook naar kunnen kijken. Echter in dit specifieke geval vond ik het fijner om even zelf de deamon opnieuw te compileren.

Voor priv sep moest er nog een user en een directory worden aangemaakt meende ik, maar daar zorgt het Slackware package allemaal wel voor.

Dat klopt, die had ik ondertussen aangemaakt. Vergeten neer te zetten in mijn post, sowwy

DiEPVRiESKiP schreef op 20 september 2002 @ 00:42:
Ik bedoel hier mee, van "had nu maar debian geinstalled"

Want? At least I learned something about my system, and the installation. With 'apt get bla' nobody actually learns anything! En als de 'geweldige' apt get een keer niet werkt, dan moet je ze horen hoor! 'ik weet niet hoe dat moet'.
Enige wat apt-get in de hand speelt op productieservers is luiheid.

En niks ten opzichte van Debian hoor. Want het is zeker de distro die in mijn lijstje naast Slackware vrij hoog bovenaan staat.

bedankt

Ik ben weer een stuk wijzer.

Het is gelukt, werkt goed nu

Toch nog 1 vraag; vanwaar de --without-suid-ssh ?

Inderdaad, zelf ook nog even gezocht en:

Note that I install the ssh binary -not- suid root. Root privileges are needed by the client only when using rhosts for authentication, which requires ssh to bind to a privileged port. Since rhosts is an old, deprecated authentication method, insecure by design, I'm not using it, and neither should you.

Amen.

* Booster , now available in privilege separated edition.

[edit]
Vergeet niet de /etc/rc.d/rc.sshd restart

Verwijderd schreef op 21 september 2002 @ 22:28:
Damn wat zijn jullie voor een stijve harken hier . Grapje moet kunnen, jullie maken er zo'n heisa van.

Als dat soort dingen 10000x gezegt zijn ben je geen stijve hark meer, maar ondertussen gewoon 'licht geirriteerd'.

Stel je voor dat ik hier in elk topic over RedHat dezelfde mop ga vertellen over waarom de kip de weg over stak, dan is dat even irritant.
Je wordt gewoon hardstikke strontziek van die mensen die constant hun eigen distro aan het promoten zijn.
In dit geval past het erg goed in het vakje 'nutteloze opmerking'. En daar hebben we de HK voor, niet NWOS.

Solarsparc schreef op 22 september 2002 @ 01:18:
http://www.openssh.org/faq.html#3.5

Voor het geval je alsnog van source wilt builden
Ben hier zelf ook een aantal keren tegenaan gelopen.

Even spieken, ik had de FAQ nml. al doorgelezen hierover, maar ik begreep dat dit echt puur en alleen over Slack 7 ging eigenlijk?

blender schreef op 22 september 2002 @ 01:23:
Ben ik alleen nog wel benieuwd naar wat de topicstarter nu bedoelde... OpenSSH of OpenSSL... De eerste zit momenteel bij versie 3.4, de laatste bij versie 0.9.6g

Gezien het versienummer zeg ik dus de laatste maar waarom dan 0.9.6e en niet 0.9.6g (die gezien de recent ontdekte bug aangeraden wordt)

Oei
Ik zie inderdaad dat ik in mijn uitleg nogal een verkeerd versienummer heb gebruikt. Ik doelde dus op OpenSSH 3.4p1 maar zat nog met het versienummer van OpenSSL in mijn hoofd.
Foutje Ik verbeter het gelijk.

Verwijderd schreef op 22 september 2002 @ 01:35:
In Slackware hangt OpenSSH af van de versie van OpenSSL. M.a.w. als je OpenSSL vervangt/upgrade naar een andere versie, je OpenSSH ook opnieuw dient te compileren. Als je dat niet doet stopt je OpenSSH met werken.

Hij stopt niet, maar blijft onveilig gezien hij dus met de oude openssl dependecies gecompileerd is.

De eind juli gepubliceerde bug werd opgelost door OpenSSL 0.9.6e meende ik (of door een lagere versie van OpenSSL te patchen). Daarvoor heb je die 0.9.6g versie niet nodig.

Inderdaad, maar wat me vooral opviel was dat de slackware-current geen 0.9.6g versie gebruikte. Vandaar dat ik dit nog eventjes achterwege heb gelaten.
Straks ga ik even de changelog doorkijken van die de g-versie, en even bugtraq een bezoek brengen.
Daarna kan ik alsnog upgraden