userauth_pubkey

Victor Sudakov написал(а) к Eugene Grosbein в Jan 17 17:57:12 по местному времени:

Dear Eugene,

26 Jan 17 09:12, you wrote to Valentin Nechayev:
EG>>> 20080801:
EG>>> OpenSSН has been upgraded to 5.1p1.
EG>>> For many years, FreeBSD's version of OpenSSН preferred
EG>>> DSA
EG>>> over RSA for host and user authentication keys. With
EG>>> this
EG>>> upgrade, we've switched to the vendor's default of RSA
EG>>> over
EG>>> DSA. [skip]
EG>>> This can be circumvented by setting the
EG>>> "НostKeyAlgorithms"
EG>>> option to "ssh-dss,ssh-rsa" in ~/.ssh/config or on the
EG>>> ssh
EG>>> command line.

Просвети меня pls. Я на все удаленные хосты хожу Керберосом (GSSAPI), мне описанная фигня не страшна?

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Valentin Nechayev в Jan 17 16:19:08 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Valentin Nechayev <netch@segfault.kiev.ua> wrote:

VN> "OpenSSН DSA key generation has been disabled by default"
VN> Хотя тут я таки согласен, читающему это повод посмотреть и
Так я посмотрел. Это банальное исправление в rc.d
Наш всезнайка-Женя, заранее зная правильный ответ, тут же подогнал
под него следующую строку из relnotes с похожими буквами.

VN> Но я бы однозначно предпочёл, чтобы авторов release notes не
VN> требовалось отправлять заново в школу формулировать свои мысли.
авторы release notes, как я уже говорил, пишут их для инвесторов, там
все правильно. Документацией эта помойка ни разу не является (ну то есть
является, в общечеловеческом смысле, а не в том, который используют в IT),
читать ее незачем.

Утешаться надо тем, что (не от хорошей жизни) срок жизни версий фри довольно
большой, линуксеры вообще вон переставляют всю систему раз в год, в лучшем
случае (и если согласен сидеть на тухлых латаных версиях софта - тухлых уже на
момент выпуска) - три. Там при этом что можно и что нельзя ломается, не
смотря на фирменные процедуры апгрейда (отличающиеся от процедур регулярного
апдейта).


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Valentin Nechayev в Jan 17 23:59:28 по местному времени:

26 янв 2017, четверг, в 13:46 NOVT, Valentin Nechayev написал(а):

EG>>>> Догадаться прочитать релизнотесы?? Сложность этого игнорировал
VN>>> Это не release notes оси.
EG>> Я говорил именно про FreeBSD 11.0 Release Notes, там написано
EG>> про отключение поддержки этого дела по дефолту.
VN> "OpenSSН DSA key generation has been disabled by default"

Я про другое: "Support for DSA is disabled by default in OpenSSН".

VN> Соболезную хроническому непониманию психологии, особенно в реальных
VN> условиях (рвут на части в три разных стороны и т.п.)

А то меня не рвут не десять частей. Это же не причина major upgrade
делать не читая релизнотесов. Но это причина почитать их заранее,
даже если в ближайшие полгода не будешь ничего апгрейдить.

VN>>> Выкидывание использования кода из конфига по умолчанию имеет
VN>>> результат, практически идентичный выкидыванию кода.
EG>> Не понял этой фразы: "использование кода из конфига"?
VN> Какое слово перевести?

Ничего не надо переводить, в конфиге sshd_config нету кода,
который можно выкинуть, там настройки.

EG>> 3) никаких альтернативных методов входа кроме ssh по старому ключу
EG>> не предусмотрено (их несколько даже средствами самого sshd_config,
EG>> например разрешить пароли для определенных IP через Match address
EG>> или AllowUsers);

VN> Это разрешение (управление аутентификацией) совсем свежее и ещё не все об
VN> этом знают.
VN> У меня местами до сих пор два раздельных sshd с разными правилами.

Да и альтернатив хватает и ты про них знаешь, вон аж второй sshd есть.
Насчет "совсем свежее" - как бы это сказать помягче... Match address
появился с OpenSSН 5.1, 2008 год, почти девять лет прошло,
а AllowUsers с указанием хоста аж с 3.0 в 2001. То есть ты считаешь
что ориентироваться надо на тех, кто вообще не читает доки НИКОГДА?

EG>>>> И всё это ради "священного права" не читать документацию хотя бы при
EG>>>> мажорном апгрейде? Никто на это не пойдет.

EG>>>> А security run output вообще
EG>>>> не для того служит.
VN>>> Если в нём есть упоминания о пакетах, которые надо только через 2
VN>>> месяца обновлять - значит, уже и для того.
EG>> Оформишь Problem Report?
VN> О чём?

О том, что отквочено и о чём ниже написал в (1)

EG>> Не припомню, чтобы у mergemaster была функция обучения или предупреждения,
EG>> это чисто техническая утилита. А под "поздновато" я имел в вид только
EG>> то, что к моменту запуска mergemaster новый код /usr/sbin/sshd уже
EG>> установлен и в случае внезапного ребута (по питанию, к примеру)
EG>> опять вернемся к тому, с чего начали. До обновления надо это делать.

VN> 1. Ты ж сам говоришь, что в коде изменений нет.

Я говорил не так. Код поддержки DSA не выкинут, его можно задействовать,
но по дефолту отключен в новом бинарнике.

VN> 2. Да, действительно, системы апгрейда должны быть умнее (причём это

(1)

VN> относится вообще ко всем ОС). Я, например, давно говорю, что вместо
VN> тупого mergemaster должна быть какая-то VCS. Subversion, Git, что-то
VN> ещё - не знаю, учитывая, что она должна быть предельно простая, но
VN> мерж должен сравнивать не два источника, а три - старый стоковый
VN> конфиг, текущий действующий и новый стоковый.
VN> И в такую систему должно входить, в частности, и управление
VN> предупреждениями о принципиальных изменениях и устарелостях.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Alex Korchmar в Jan 17 00:02:22 по местному времени:

26 янв 2017, четверг, в 17:19 NOVT, Alex Korchmar написал(а):

VN>> "OpenSSН DSA key generation has been disabled by default"
VN>> Хотя тут я таки согласен, читающему это повод посмотреть и
AK> Так я посмотрел. Это банальное исправление в rc.d
AK> Наш всезнайка-Женя, заранее зная правильный ответ, тут же подогнал
AK> под него следующую строку из relnotes с похожими буквами.

VN-у процитировал в первый раз, а лично тебе в третий в этом треде,
речь про "Support for DSA is disabled by default in OpenSSН".

Вы или читать разучились, или придуриваетесь.

VN>> Но я бы однозначно предпочёл, чтобы авторов release notes не
VN>> требовалось отправлять заново в школу формулировать свои мысли.
AK> авторы release notes, как я уже говорил, пишут их для инвесторов, там
AK> все правильно. Документацией эта помойка ни разу не является (ну то есть
AK> является, в общечеловеческом смысле, а не в том, который используют в IT),
AK> читать ее незачем.

AK> Утешаться надо тем, что (не от хорошей жизни) срок жизни версий фри довольно
AK> большой, линуксеры вообще вон переставляют всю систему раз в год, в лучшем
AK> случае (и если согласен сидеть на тухлых латаных версиях софта - тухлых уже на
AK> момент выпуска) - три. Там при этом что можно и что нельзя ломается, не
AK> смотря на фирменные процедуры апгрейда (отличающиеся от процедур регулярного
AK> апдейта).

Я про это специально речь не заводил, хотя это де-факто низводит
нежеление раз в пятилетку прочитать релизнотесы до смешного.

Eugene
--
Устав от вечных упований,
Устав от радостных пиров
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Valentin Nechayev в Jan 17 00:05:02 по местному времени:

26 янв 2017, четверг, в 13:48 NOVT, Valentin Nechayev написал(а):

VN>>>>> А то, что ты описал, вкуснее VPS разве что своей осью.
EG>>>> Бгг, "разве что" :-) :-)
VN>>> Я понимаю, что в данной эхообласти "патриотично" гордиться тем, что мы
VN>>> лучше остальных, но для этих остальных почему-то все отличия по сути
VN>>> от Linux несущественны, кроме в разы меньшей распространённости. И тем
VN>>> более они не ценят возможность в надцатый раз заточить ядро под себя.
EG>> Это аргумент из серии про миллион мух, отсылка к большинству.
VN> А контраргументы - из серии таки про элитизм.

Контраргумент против "аргумента мух" вовсе не всегда про элитизм.

EG>> Речь не о том, что лучше или хуже и не об элитизме. Речь доступных
EG>> возможностях и то, что большинству не нужны некоторые возможности,
EG>> это опять про колокол гауссианы. Это всё известно.
VN> Тогда твоё предыдущее сообщение тем более можно было не писать.

Это была вынужденная мера, раз уж ты пустил в ход мух.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Victor Sudakov в Jan 17 00:05:44 по местному времени:

26 янв 2017, четверг, в 18:57 NOVT, Victor Sudakov написал(а):

EG>>>> 20080801:
EG>>>> OpenSSН has been upgraded to 5.1p1.
EG>>>> For many years, FreeBSD's version of OpenSSН preferred
EG>>>> DSA
EG>>>> over RSA for host and user authentication keys. With
EG>>>> this
EG>>>> upgrade, we've switched to the vendor's default of RSA
EG>>>> over
EG>>>> DSA. [skip]
EG>>>> This can be circumvented by setting the
EG>>>> "НostKeyAlgorithms"
EG>>>> option to "ssh-dss,ssh-rsa" in ~/.ssh/config or on the
EG>>>> ssh
EG>>>> command line.
VS> Просвети меня pls. Я на все удаленные хосты хожу Керберосом (GSSAPI), мне
VS> описанная фигня не страшна?

Если она тебя с 2008 не затронула, значит уже нет.

Eugene
--- slrn/1.0.2 (FreeBSD)