2008 Mayıs ayında Debian tabanlı sistemlerde bulunan rastgele sayı üretiçi (Random number generator) modülünde bulunan bir hata, rastgele sayı üreticinin ürettiği sayıların tahmin edilebilir olduğunu ortaya çıkattı. Sorunlu sistemlerde yaratılan sertifika, ssh anahtarlarının ciddi güvenlik riski oluşturduğu için değiştirilmesi gerekiyor. USN-612-2 DSA 1571-1

Üzerinden bir sene geçtiği halde bu konuya neden değiniyorsun diyebilirsiniz. Tüm güncellemeleri yapılmış bir müşteri sisteminde çalışırken sorunlu sistemlerde üretilmiş güvenlik açığı barındıran bir SSH anahtarının hala kullanımda olduğunun farkına vardım. Müşterimiz düzenli olarak sistemlerini güncellediği için sistemleri artık bu sorunu içermiyor fakat kullanmakta oldukları anahtar 1 yıldan eski olduğu için bu farkında olmasalar da hala büyük bir risk altındalardı.

Benzer bir durum sizin için de söz konusu olabilir. Sisteminizde aşağıdaki komutu çalıştırmak suretiyle anahtarlarınızın güvenlik açığı içerip içermediğini kontrol edebilirsiniz.

alis@fhome:~/repoServer$ ssh-vulnkey -a

Eğer anahtarlarınızdan herhangi biri COMPROMISED ifadesiyle işaretlenimiş ise güvenlik riski oluştaran bir anahtarınız var demektir. ssh-keygen komutu ile güvenlik riski oluşturan tüm anahtarları yeniden oluşturmanız gerekiyor.

Anahtarları yeniden yaratmadan önce anahtarın kullanıldığı sistemlerin bir listesini çıkartmanızda fayda var. Eger sistemlerinizden birine ulaşmanın tek yolu problemli anahtar ise alternatif bir login seçeneği oluşturun! Anahtarı yeniden yaratmanız durumunda kendinizi disarıda bırakabilirsiniz.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.