userauth_pubkey

Andrey Ostanovsky написал(а) к All в Jan 17 11:56:42 по местному времени:

Нello All!

При обновлении системы с версии 10.3 на 11.0 после перезагрузки потерял управление по ssh.

- cо стороны клиента ругань "Permission denied (pubkey)"
- в логе на сервере: userauth_pubkey: key type ssh-dss not in PubkeyAcceptedKeyTypes [preauth]

Оказывается "умные люди" исключили тип ключа ssh-dss из разрешенных к авторизации по ssh, правда забыв предупредить об этом пользователей, даже запускающих mergemaster-p.


Вариантов решения несколько:

- до перезагрузки сгенерировать и установить ключи другого типа (rsa, ecdsa, ed25519)
- до перезагрузки добавить в sshd_config строчку "PubkeyAcceptedKeyTypes=+ssh-dss"


Andrey

--- GoldED+/BSD 1.1.5-b20070503

Eugene Grosbein написал(а) к Andrey Ostanovsky в Jan 17 15:49:05 по местному времени:

20 янв 2017, пятница, в 12:56 NOVT, Andrey Ostanovsky написал(а):

AO> При обновлении системы с версии 10.3 на 11.0 после перезагрузки потерял
AO> управление по ssh.
AO> - cо стороны клиента ругань "Permission denied (pubkey)"
AO> - в логе на сервере: userauth_pubkey: key type ssh-dss not in
AO> PubkeyAcceptedKeyTypes [preauth]
AO> Оказывается "умные люди" исключили тип ключа ssh-dss из разрешенных к
AO> авторизации по ssh, правда забыв предупредить об этом пользователей, даже
AO> запускающих mergemaster-p.

Нет, не забыв. Просто кое-кто (не будем показывать пальцем) не читает
Release Notes даже при мажорном апгрейде операционной системы.
А ведь там всё написано.

Eugene
--- slrn/1.0.2 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Jan 17 14:11:24 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG> Нет, не забыв. Просто кое-кто (не будем показывать пальцем) не читает
EG> Release Notes даже при мажорном апгрейде операционной системы.
EG> А ведь там всё написано.
кто-то помнится языком шлепал о легкости и простоте необычайной апгрейда аж
с 8 на 11. Теперь вот оказывается, что необычайная легкость требует
внимательного прочтения 25 страниц мутной галиматьи, написанной канцелярским
языком и выуживания там крупиц нужной информации, между торговыми
марками и рассказами о том какие мы крутые (весь документ служит
для развода ло...инвесторов на новое бабло), чтобы ненароком не
поехать в неоплачиваемую командировку в гости к серверу.

Кого-то еще удивляет, почему я не желаю апгрейдить то, что работает?

> Alex
P.S. разумеется, я понимаю, что в первую очередь тупые макаки - авторы openssh,
в очередной раз ради видимости деятельности сломавшие совместимость, но
никто не мешал bsd'шникам эти грабли убрать на пару релизов как минимум.
P.P.S. глянул таки этот документ. Там нет ни слова о том что отключена
невидимо в конфиге авторизация dsa -ключами. Наоборот, поют песни "вы
запустите, запустите upgrade, оно все само правильно делает". Скорее всего,
авторы этого чудо-документа вообще не в курсе что они набэкпортили из openbsd.
Да-да, release notes походу не догадались прочитать, когда тащили в рот
всякую гадость с помойки.


--- ifmail v.2.15dev5.4

Victor Sudakov написал(а) к Alex Korchmar в Jan 17 18:47:12 по местному времени:

Dear Alex,

20 Jan 17 14:11, you wrote to Eugene Grosbein:

EG>> Нет, не забыв. Просто кое-кто (не будем показывать пальцем) не
EG>> читает Release Notes даже при мажорном апгрейде операционной
EG>> системы. А ведь там всё написано.
AK> кто-то помнится языком шлепал о легкости и простоте необычайной
AK> апгрейда аж с 8 на 11. Теперь вот оказывается, что необычайная
AK> легкость требует внимательного прочтения 25 страниц мутной галиматьи,
AK> написанной канцелярским языком и выуживания там крупиц нужной
AK> информации, между торговыми марками и рассказами о том какие мы крутые

Это ты конечно со зла, нормально оно написано, много интересного узнаёшь. Но грабли всё же аккуратно разложены. Недавно пробовал обновляться с 9.3 на 10.3, после перезагрузки отвалился CARP. Оказывается интерфейса carp теперь не бывает, вместо него надо вешать CARP на родительский интерфейс, но написано об этом в Release Notes аж от 10.0, которые я если и читал, то забыл. А может и не читал, потому что на 10.0 не планировал переходить никогда. Т.е. перед переходом с последней поддерживаемой 9-ки на свежую 10.3 надо было читать оказывается Release Notes ретроспективно, начиная с 10.0. Что характерно, в /usr/src/UPDATING о засаде с CARP ни слова.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Victor Sudakov в Jan 17 16:16:58 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

VS> Это ты конечно со зла, нормально оно написано, много интересного узнаёшь.
да, дофига - например, что IBM, AIX, OS/2, PowerPC, PS/2, S/390,
and ThinkPad are trademarks of International Business Machines
Честно говоря, я не знаю, кто будет читать то, что начинается подобным
образом, а не мелким шрифтиком в самом конце.

VS> грабли всё же аккуратно разложены.
я, разумеется, ни разу не предполагаю, что грабли ограничены только sshd.
Какие именно прилетят по лбу именно в моих сетапах - честно говоря, нет и
желания узнавать.

VS> этом в Release Notes аж от 10.0, которые я если и читал, то забыл.
ну, раз уж ты вообще почитатель этой муры, имело смысл, очевидно, читать все
пропущенные - я в общем-то читаю подобным образом changelog'и - те, что
еще пишут программисты для себя, а не для эффективных менеджеров.
Естественно, ровно с той версии, которой пользуюсь.

VS> оказывается Release Notes ретроспективно, начиная с 10.0. Что характерно, в
VS> /usr/src/UPDATING о засаде с CARP ни слова.
UPDATING нынче немодно, эффективным менеджерам не нужен /usr/src


> Alex

--- ifmail v.2.15dev5.4

Andrey Ostanovsky написал(а) к Eugene Grosbein в Jan 17 16:34:32 по местному времени:

Нello Eugene!

20 Jan 17 15:49, you wrote to me:

EG> Нет, не забыв. Просто кое-кто (не будем показывать пальцем) не читает
EG> Release Notes даже при мажорном апгрейде операционной системы.
EG> А ведь там всё написано.

Возможно, что "там все написано", но кто мешал, как в случае с pkg, предупреждать о том, что авторизация сломается за полгода до того? Причем, в отличие от pkg, поломка ssh черевата гораздо более неприятными последствиями. Не знали или не подумали?

Andrey

--- GoldED+/BSD 1.1.5-b20070503

Alex Korchmar написал(а) к Andrey Ostanovsky в Jan 17 19:38:03 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrey Ostanovsky <Andrey.Ostanovsky@f1957.n5030.z2.fidonet.org> wrote:

AO> Не знали или не подумали?
не знали. Вопреки мнению Жени, в нотесах речь совсем не об этом (оно
серверный dsa-ключ при первичной установке перестало генерить, это в rc.d,
к самому openssh не относится)
Не пользуются разработчики dsa-ключами, тащат с апстрима неглядя, да еще и
следуя модным тенденциям.

> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Jan 17 18:33:59 по местному времени:

20 янв 2017, пятница, в 15:11 NOVT, Alex Korchmar написал(а):

EG>> Нет, не забыв. Просто кое-кто (не будем показывать пальцем) не читает
EG>> Release Notes даже при мажорном апгрейде операционной системы.
EG>> А ведь там всё написано.
AK> кто-то помнится языком шлепал о легкости и простоте необычайной апгрейда аж
AK> с 8 на 11. Теперь вот оказывается, что необычайная легкость требует
AK> внимательного прочтения

Не читающий релизнотесы при мажорном апгрейде просто нарывается
на неприятности и ССЗБ. Иногда прокатывает, иногда нет, но виноват сам.

AK> P.S. разумеется, я понимаю, что в первую очередь тупые макаки - авторы openssh,
AK> в очередной раз ради видимости деятельности сломавшие совместимость, но
AK> никто не мешал bsd'шникам эти грабли убрать на пару релизов как минимум.

Так и было. 11 это тот релиз, который случился уже после.

Upstream did this a long time ago, but we kept DSA and SSН1 in FreeBSD for
reasons which boil down to POLA. Now is a good time to catch up.

AK> P.P.S. глянул таки этот документ. Там нет ни слова о том что отключена
AK> невидимо в конфиге авторизация dsa -ключами.

Плохо читаешь. Раздел 4.3 "Support for DSA is disabled by default
in OpenSSН".

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Andrey Ostanovsky в Jan 17 19:01:52 по местному времени:

20 янв 2017, пятница, в 17:34 NOVT, Andrey Ostanovsky написал(а):

EG>> Нет, не забыв. Просто кое-кто (не будем показывать пальцем) не читает
EG>> Release Notes даже при мажорном апгрейде операционной системы.
EG>> А ведь там всё написано.
AO> Возможно, что "там все написано", но кто мешал, как в случае с pkg,
AO> предупреждать о том, что авторизация сломается за полгода до того? Причем, в
AO> отличие от pkg, поломка ssh черевата гораздо более неприятными последствиями. Не
AO> знали или не подумали?

А кто мешал прочитать релизнотесы при мажорном апгрейде до того,
как выполнять этот самый апгрейд? Это вообще всегда обязательно,
если не хочешь проблем.

Если вести речь о конкретно сабже, то предупреждения об отходе от DSS
и ssh1 начались лет десять лет назад. Включая запись 20080801
в /usr/src/UPDATING:

OpenSSН has been upgraded to 5.1p1.

For many years, FreeBSD's version of OpenSSН preferred DSA
over RSA for host and user authentication keys. With this
upgrade, we've switched to the vendor's default of RSA over
DSA.

И далее по тексту.

Ну и сам OpenSSН анонсировал incompatible changes это давным-давно
и нужно было быть в спячке лет 15, чтобы ни разу об этом не услышать
ни в новостях, ни в листах, ни в релизнотесах.

Конкретно это изменение было анонсировано с релизом openssh-6.9
полтора года назад как готовящееся для openssh-7.0 за полтора месяца
до его выхода. То есть, больше года назад. Где ещё, кроме специально
предназначенных для этого релизнотесов ты хотел бы видеть дополнительное
объявление? :-)

Eugene
--
http://www.grosbein.net/papirosn.mp3
http://dadv.livejournal.com/2006/03/11/
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Victor Sudakov в Jan 17 19:03:20 по местному времени:

20 янв 2017, пятница, в 19:47 NOVT, Victor Sudakov написал(а):

VS> Это ты конечно со зла, нормально оно написано, много интересного узнаёшь. Но
VS> грабли всё же аккуратно разложены. Недавно пробовал обновляться с 9.3 на 10.3,
VS> после перезагрузки отвалился CARP. Оказывается интерфейса carp теперь не бывает,
VS> вместо него надо вешать CARP на родительский интерфейс, но написано об этом в
VS> Release Notes аж от 10.0, которые я если и читал, то забыл. А может и не читал,
VS> потому что на 10.0 не планировал переходить никогда. Т.е. перед переходом с
VS> последней поддерживаемой 9-ки на свежую 10.3 надо было читать оказывается
VS> Release Notes ретроспективно, начиная с 10.0. Что характерно, в
VS> /usr/src/UPDATING о засаде с CARP ни слова.

Несовместимые изменения не делаются в минорных релизах же,
делаются в мажорных. По-моему, из этого с очевидностью следует,
что релизнотесы на мажорные релизы надо читать обязательно.

Eugene
--- slrn/1.0.2 (FreeBSD)