#91
|
|||
|
|||
userauth_pubkey
Victor Sudakov написал(а) к Eugene Grosbein в Jan 17 17:57:12 по местному времени:
Dear Eugene, 26 Jan 17 09:12, you wrote to Valentin Nechayev: EG>>> 20080801: EG>>> OpenSSН has been upgraded to 5.1p1. EG>>> For many years, FreeBSD's version of OpenSSН preferred EG>>> DSA EG>>> over RSA for host and user authentication keys. With EG>>> this EG>>> upgrade, we've switched to the vendor's default of RSA EG>>> over EG>>> DSA. [skip] EG>>> This can be circumvented by setting the EG>>> "НostKeyAlgorithms" EG>>> option to "ssh-dss,ssh-rsa" in ~/.ssh/config or on the EG>>> ssh EG>>> command line. Просвети меня pls. Я на все удаленные хосты хожу Керберосом (GSSAPI), мне описанная фигня не страшна? Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#92
|
|||
|
|||
Re: userauth_pubkey
Alex Korchmar написал(а) к Valentin Nechayev в Jan 17 16:19:08 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Valentin Nechayev <netch@segfault.kiev.ua> wrote: VN> "OpenSSН DSA key generation has been disabled by default" VN> Хотя тут я таки согласен, читающему это повод посмотреть и Так я посмотрел. Это банальное исправление в rc.d Наш всезнайка-Женя, заранее зная правильный ответ, тут же подогнал под него следующую строку из relnotes с похожими буквами. VN> Но я бы однозначно предпочёл, чтобы авторов release notes не VN> требовалось отправлять заново в школу формулировать свои мысли. авторы release notes, как я уже говорил, пишут их для инвесторов, там все правильно. Документацией эта помойка ни разу не является (ну то есть является, в общечеловеческом смысле, а не в том, который используют в IT), читать ее незачем. Утешаться надо тем, что (не от хорошей жизни) срок жизни версий фри довольно большой, линуксеры вообще вон переставляют всю систему раз в год, в лучшем случае (и если согласен сидеть на тухлых латаных версиях софта - тухлых уже на момент выпуска) - три. Там при этом что можно и что нельзя ломается, не смотря на фирменные процедуры апгрейда (отличающиеся от процедур регулярного апдейта). > Alex --- ifmail v.2.15dev5.4 |
#93
|
|||
|
|||
Re: userauth_pubkey
Eugene Grosbein написал(а) к Valentin Nechayev в Jan 17 23:59:28 по местному времени:
26 янв 2017, четверг, в 13:46 NOVT, Valentin Nechayev написал(а): EG>>>> Догадаться прочитать релизнотесы?? Сложность этого игнорировал VN>>> Это не release notes оси. EG>> Я говорил именно про FreeBSD 11.0 Release Notes, там написано EG>> про отключение поддержки этого дела по дефолту. VN> "OpenSSН DSA key generation has been disabled by default" Я про другое: "Support for DSA is disabled by default in OpenSSН". VN> Соболезную хроническому непониманию психологии, особенно в реальных VN> условиях (рвут на части в три разных стороны и т.п.) А то меня не рвут не десять частей. Это же не причина major upgrade делать не читая релизнотесов. Но это причина почитать их заранее, даже если в ближайшие полгода не будешь ничего апгрейдить. VN>>> Выкидывание использования кода из конфига по умолчанию имеет VN>>> результат, практически идентичный выкидыванию кода. EG>> Не понял этой фразы: "использование кода из конфига"? VN> Какое слово перевести? Ничего не надо переводить, в конфиге sshd_config нету кода, который можно выкинуть, там настройки. EG>> 3) никаких альтернативных методов входа кроме ssh по старому ключу EG>> не предусмотрено (их несколько даже средствами самого sshd_config, EG>> например разрешить пароли для определенных IP через Match address EG>> или AllowUsers); VN> Это разрешение (управление аутентификацией) совсем свежее и ещё не все об VN> этом знают. VN> У меня местами до сих пор два раздельных sshd с разными правилами. Да и альтернатив хватает и ты про них знаешь, вон аж второй sshd есть. Насчет "совсем свежее" - как бы это сказать помягче... Match address появился с OpenSSН 5.1, 2008 год, почти девять лет прошло, а AllowUsers с указанием хоста аж с 3.0 в 2001. То есть ты считаешь что ориентироваться надо на тех, кто вообще не читает доки НИКОГДА? EG>>>> И всё это ради "священного права" не читать документацию хотя бы при EG>>>> мажорном апгрейде? Никто на это не пойдет. EG>>>> А security run output вообще EG>>>> не для того служит. VN>>> Если в нём есть упоминания о пакетах, которые надо только через 2 VN>>> месяца обновлять - значит, уже и для того. EG>> Оформишь Problem Report? VN> О чём? О том, что отквочено и о чём ниже написал в (1) EG>> Не припомню, чтобы у mergemaster была функция обучения или предупреждения, EG>> это чисто техническая утилита. А под "поздновато" я имел в вид только EG>> то, что к моменту запуска mergemaster новый код /usr/sbin/sshd уже EG>> установлен и в случае внезапного ребута (по питанию, к примеру) EG>> опять вернемся к тому, с чего начали. До обновления надо это делать. VN> 1. Ты ж сам говоришь, что в коде изменений нет. Я говорил не так. Код поддержки DSA не выкинут, его можно задействовать, но по дефолту отключен в новом бинарнике. VN> 2. Да, действительно, системы апгрейда должны быть умнее (причём это (1) VN> относится вообще ко всем ОС). Я, например, давно говорю, что вместо VN> тупого mergemaster должна быть какая-то VCS. Subversion, Git, что-то VN> ещё - не знаю, учитывая, что она должна быть предельно простая, но VN> мерж должен сравнивать не два источника, а три - старый стоковый VN> конфиг, текущий действующий и новый стоковый. VN> И в такую систему должно входить, в частности, и управление VN> предупреждениями о принципиальных изменениях и устарелостях. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#94
|
|||
|
|||
Re: userauth_pubkey
Eugene Grosbein написал(а) к Alex Korchmar в Jan 17 00:02:22 по местному времени:
26 янв 2017, четверг, в 17:19 NOVT, Alex Korchmar написал(а): VN>> "OpenSSН DSA key generation has been disabled by default" VN>> Хотя тут я таки согласен, читающему это повод посмотреть и AK> Так я посмотрел. Это банальное исправление в rc.d AK> Наш всезнайка-Женя, заранее зная правильный ответ, тут же подогнал AK> под него следующую строку из relnotes с похожими буквами. VN-у процитировал в первый раз, а лично тебе в третий в этом треде, речь про "Support for DSA is disabled by default in OpenSSН". Вы или читать разучились, или придуриваетесь. VN>> Но я бы однозначно предпочёл, чтобы авторов release notes не VN>> требовалось отправлять заново в школу формулировать свои мысли. AK> авторы release notes, как я уже говорил, пишут их для инвесторов, там AK> все правильно. Документацией эта помойка ни разу не является (ну то есть AK> является, в общечеловеческом смысле, а не в том, который используют в IT), AK> читать ее незачем. AK> Утешаться надо тем, что (не от хорошей жизни) срок жизни версий фри довольно AK> большой, линуксеры вообще вон переставляют всю систему раз в год, в лучшем AK> случае (и если согласен сидеть на тухлых латаных версиях софта - тухлых уже на AK> момент выпуска) - три. Там при этом что можно и что нельзя ломается, не AK> смотря на фирменные процедуры апгрейда (отличающиеся от процедур регулярного AK> апдейта). Я про это специально речь не заводил, хотя это де-факто низводит нежеление раз в пятилетку прочитать релизнотесы до смешного. Eugene -- Устав от вечных упований, Устав от радостных пиров --- slrn/1.0.2 (FreeBSD) |
#95
|
|||
|
|||
Re: userauth_pubkey
Eugene Grosbein написал(а) к Valentin Nechayev в Jan 17 00:05:02 по местному времени:
26 янв 2017, четверг, в 13:48 NOVT, Valentin Nechayev написал(а): VN>>>>> А то, что ты описал, вкуснее VPS разве что своей осью. EG>>>> Бгг, "разве что" :-) :-) VN>>> Я понимаю, что в данной эхообласти "патриотично" гордиться тем, что мы VN>>> лучше остальных, но для этих остальных почему-то все отличия по сути VN>>> от Linux несущественны, кроме в разы меньшей распространённости. И тем VN>>> более они не ценят возможность в надцатый раз заточить ядро под себя. EG>> Это аргумент из серии про миллион мух, отсылка к большинству. VN> А контраргументы - из серии таки про элитизм. Контраргумент против "аргумента мух" вовсе не всегда про элитизм. EG>> Речь не о том, что лучше или хуже и не об элитизме. Речь доступных EG>> возможностях и то, что большинству не нужны некоторые возможности, EG>> это опять про колокол гауссианы. Это всё известно. VN> Тогда твоё предыдущее сообщение тем более можно было не писать. Это была вынужденная мера, раз уж ты пустил в ход мух. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#96
|
|||
|
|||
Re: userauth_pubkey
Eugene Grosbein написал(а) к Victor Sudakov в Jan 17 00:05:44 по местному времени:
26 янв 2017, четверг, в 18:57 NOVT, Victor Sudakov написал(а): EG>>>> 20080801: EG>>>> OpenSSН has been upgraded to 5.1p1. EG>>>> For many years, FreeBSD's version of OpenSSН preferred EG>>>> DSA EG>>>> over RSA for host and user authentication keys. With EG>>>> this EG>>>> upgrade, we've switched to the vendor's default of RSA EG>>>> over EG>>>> DSA. [skip] EG>>>> This can be circumvented by setting the EG>>>> "НostKeyAlgorithms" EG>>>> option to "ssh-dss,ssh-rsa" in ~/.ssh/config or on the EG>>>> ssh EG>>>> command line. VS> Просвети меня pls. Я на все удаленные хосты хожу Керберосом (GSSAPI), мне VS> описанная фигня не страшна? Если она тебя с 2008 не затронула, значит уже нет. Eugene --- slrn/1.0.2 (FreeBSD) |