Vereinsserver Unterstützung von rsa-sha2-256

Begonnen von Sidey, 29 Dezember 2024, 22:02:01

Vorheriges Thema - Nächstes Thema

Otto123

ich weiß nicht ob Du da fhem-va.fhem.de nehmen musst. Die hinterlegten IP sind aber identisch.
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

gvzdus

Auf "meinem" Testserver (meine Spiel-Instanz bei AWS, die hoch- und runterfährt) ist eh' buntes Chaos.
Du musst ja die zig Level unterscheiden:
 - Hostkey-Format
 - KeyExchange
 - Signatur
 - Verschlüsselung
etc.

Zu dem Elend von Apache MINA gehört eine völlig unbefriedigende Hostkey-Verwaltung. Das scheint nie produktiv mit mehreren Verfahren parallel gelaufen zu sein, sondern immer nur mit einem Verfahren. Zu den Tücken gehört auch, MINA dazu zu bewegen, auch nur einen selbst generierten Key zu persistieren.
Ich werde da kurzfristig nicht weiterkommen, einen Migrationspfad auf ED25519 / ECDSA im Parallelbetrieb zu RSA anzubieten.
Selbst auf 2 getrennten Ports "zickt" MINA.

Sidey

Hi gvzdus,

Ja ist für mich leider auch etwas kryptisch. Ich werde das die Tage noch genauer vergleichen.

Ggf. weichen wir etwas vom Thema ab, aber was spricht eigentlich dagegen ein opensshd zu verwenden?
Darüber kann man doch einen ssh Tunnel aufbauen um darüber wäre es doch grundsätzlich möglich die Kommunikation zu dem Webserver zu etablieren.


Grüße Sidey
Signalduino, Homematic, Raspberry Pi, Mysensors, MQTT, Alexa, Docker, AlexaFhem,zigbee2mqtt

Maintainer von: SIGNALduino, fhem-docker, alexa-fhem-docker, fhempy-docker

gvzdus

Weil ja zwar der Befehl "Öffne einen Listener-Port auf dem Zielserver und verbinde ihn mit meinem lokalen nodejs" (ssh -R) verwendet wird, aber der Zielserver keine realen TCPIP-Ports öffnet, sondern sie nur virtuell mit einkommenden HTTP-Requests von Amazon beschickt.
Ich denke mal, Rudi hat kein Problem mit der Veröffentlichung: Es sind aktuell 2671 Nutzer verbunden, es werden also 2671 TCP-Verbindungen "gehalten".
Da hätte man eher vor 5 Jahren auf Websockets setzen sollen - war dem Andre sein Reden, aber ich wollte SSH :-)

gvzdus

Die "Magie" der Software ist ja: "Egal, wie Dein SSH-Key ist: Annehmen tue ich Dich. Beweise im folgenden, dass ich legitim Dir die für Dich bestimmten Amazon-Requests weiterleiten darf - danach ist Dein Secret bei Amazon mit Deinem SSH-Key verknüpft".

Sidey

Ho gvzdus,

Die Verbindung zum Testserver lässt sich leider nicht mehr aufbauen um die Unterschiede analysieren zu können.

Da der Server grundsätzlich rsa-sha2-256 und 512 anbietet vermute ich hier einen der in 2.3.0 noch vorhandenen Bugs.

Aktuell weiss ich nicht, was ich effektiv machen kann um zu helfen.

Grüße Sidey
Signalduino, Homematic, Raspberry Pi, Mysensors, MQTT, Alexa, Docker, AlexaFhem,zigbee2mqtt

Maintainer von: SIGNALduino, fhem-docker, alexa-fhem-docker, fhempy-docker

mkraus81

ich bin heute auch auf bookworm gegangen (raspi) und tja... problem

alexaFHEM.ProxyConnection
error; Reverse Proxy replied with neither registered nor unregistered status: out:  err:fhem@fhem-va.fhem.de: Permission denied (keyboard-interactive,publickey).

wie kann ich SHA1 bei bookworm aktivieren, damit alles wieder läuft?

Sidey

Zitat von: mkraus81 am 10 Januar 2025, 20:25:32ich bin heute auch auf bookworm gegangen (raspi) und tja... problem

alexaFHEM.ProxyConnection
error; Reverse Proxy replied with neither registered nor unregistered status: out:  err:fhem@fhem-va.fhem.de: Permission denied (keyboard-interactive,publickey).

wie kann ich SHA1 bei bookworm aktivieren, damit alles wieder läuft?
Wie das geht, habe ich dir gerade per pm schon geschrieben.

Grüße Sidey
Signalduino, Homematic, Raspberry Pi, Mysensors, MQTT, Alexa, Docker, AlexaFhem,zigbee2mqtt

Maintainer von: SIGNALduino, fhem-docker, alexa-fhem-docker, fhempy-docker

mkraus81

@Sidey DANKE für die Hilfe... kann man die Lösung nicht hier posten, falls andere auch das Problem haben?

Sidey

#24
Zitat von: mkraus81 am 10 Januar 2025, 20:53:09@Sidey DANKE für die Hilfe... kann man die Lösung nicht hier posten, falls andere auch das Problem haben?

Die Lösung ist eigentlich nicht mehr diese SHA Methode zu verwenden und stattdessen eine die als sicher eingestuft wird. Daher werde ich es hier nicht Posten.
Es gibt dazu auch schon Posts im Forum, die meinen Verdacht bestätigen, dass hier einfach ohne Wissen Dinge angewendet werden, weil es halt geht.

Ob sich aus dem Workaround ein reales Sicherheitsrisiko ergibt vermag ich nicht zu bewerten, aber empfehlen werde ich diese Vorgehensweise nicht die ich dir geschrieben habe.

Über das Docker Image habe ich ja wenigstens die Chance den Workaround wieder zu entfernen.

Grüße Sidey

Signalduino, Homematic, Raspberry Pi, Mysensors, MQTT, Alexa, Docker, AlexaFhem,zigbee2mqtt

Maintainer von: SIGNALduino, fhem-docker, alexa-fhem-docker, fhempy-docker

mkraus81

ich kenn mich mit dem SHA Methode so auch nicht aus...
aber klar, wenn das eine Sicherheitslücke ist, sollte man das beim "Server" anpassen...
aber wenn ich das hier richtig lese scheint dies nicht ganz so einfach zu sein