SSH daemon jen s DES (3DES funguje) - VYRESENO

Sluka Jiri Jiri.Sluka na rg.siemens.cz
Pátek Březen 22 14:37:47 CET 2002 

Diky panu Kankovskemu a jim navrzene uprave zdrojaku
SSH serveru uz mi funguje server i s DES algoritmem.

Pro uplnost se pokusim shrnout zpusob volani SSH i cely postup
upravy SSH serveru. Je tam par malickosti, ktere mi
diky moji nezkusenosti zneprijemnily zivot, nez jsem je prekousl.

1. SSH klient nepotrebuje upravu, zahajeni spojeni ma syntaxi:
     ssh  -1  -c des   jmeno_nebo_adresa_SSH_serveru

Prepinac -1 (jednicka) urcuje verzi protokolu. Algoritmus DES
je soucasti verze 1 protokolu SSH a proto bez te jednicky
nektere SSH daemony odmitnou spojeni, i kdyby 
DES podporovaly. (muj problem No.1)     :-o

2. Uprava serveru (daemona)
Pracoval jsem s RH7.2 a balickem
openssh-3.0.2p1-2.src.rpm   stazenym z adresy
http://rpmfind.net/linux/RPM/OByName.html
Jsou tam uz i novejsi verze.

Je treba upravit soubor cipher.c takto:
------pred upravou -----------------
 cipher_mask_ssh1(int client)
 {
        u_int mask = 0;
        mask |= 1 << SSH_CIPHER_3DES;           /* Mandatory */
         mask |= 1 << SSH_CIPHER_BLOWFISH;
         if (client) {
                 mask |= 1 << SSH_CIPHER_DES; 
         }
         return mask;
 }
------po uprave ----------------------
 cipher_mask_ssh1(int client)
 {
         u_int mask = 0;
         mask |= 1 << SSH_CIPHER_3DES;           /* Mandatory */
         mask |= 1 << SSH_CIPHER_BLOWFISH;
         mask |= 1 << SSH_CIPHER_DES; 
         return mask;
 }
-----------------------------------------

Muj problem No.2: Upravu zdrojaku jsem nejprve provadel
pomoci "mc" commanderu primo uvnitr balicku. I po ulozeni
upravy se do souboru ve skutecnosti nic nezapsalo, obsah
balicku se pro mc choval jako R/O filesystem bez prava zapisu.
Ale to jsem zjistil az pozdeji.    :-(
Nezbylo nez balicek nainstalovat,  rozbalit vznikly soubor
     /usr/src/redhat/SOURCES/openssh-3.0.2p1.tar.gz
upravit cipher.c, znovu zarchivovat a zazipovat. Pak jsem
udelal rekonstrukci zdrojoveho balicku a kompilaci
     cd  /usr/src/redhat/SPECS
     rpm -ba openssh.spec 
nasledovala odinstalace stareho openssh a instalace
nove vzniklych binarnich balicku v /usr/src/redhat/RPMS
a nakonec uz jen
     /etc/rc3.d/S55sshd stop      (obvykle zbytecne diky odinstalaci)
     /etc/rc3.d/S55sshd start
a demonek bezi jako novy, souhlasi nejen s 3DES, ale i s DES,
i kdyz ma namitky proti bezpecnosti.

Diky tomu nemam problem z Cisco smerovacu se dostat
na server s Linuxem. Obracene to chodio i pred tim.

Omlouvam se vsem, kterych jsem se dotkl polopatickym popisem,
privitam informace jak to priste udelat lepe
a hlavne dekuji panu Kankovskemu za radu tykajici se zdrojaku.
To byl klic k uspechu.


Jirí Sluka 
sluka na siemens.com

Další informace o konferenci Linux