SSH daemon jen s DES (3DES funguje) - VYRESENO
Sluka Jiri
Jiri.Sluka na rg.siemens.cz
Pátek Březen 22 14:37:47 CET 2002
Diky panu Kankovskemu a jim navrzene uprave zdrojaku
SSH serveru uz mi funguje server i s DES algoritmem.
Pro uplnost se pokusim shrnout zpusob volani SSH i cely postup
upravy SSH serveru. Je tam par malickosti, ktere mi
diky moji nezkusenosti zneprijemnily zivot, nez jsem je prekousl.
1. SSH klient nepotrebuje upravu, zahajeni spojeni ma syntaxi:
ssh -1 -c des jmeno_nebo_adresa_SSH_serveru
Prepinac -1 (jednicka) urcuje verzi protokolu. Algoritmus DES
je soucasti verze 1 protokolu SSH a proto bez te jednicky
nektere SSH daemony odmitnou spojeni, i kdyby
DES podporovaly. (muj problem No.1) :-o
2. Uprava serveru (daemona)
Pracoval jsem s RH7.2 a balickem
openssh-3.0.2p1-2.src.rpm stazenym z adresy
http://rpmfind.net/linux/RPM/OByName.html
Jsou tam uz i novejsi verze.
Je treba upravit soubor cipher.c takto:
------pred upravou -----------------
cipher_mask_ssh1(int client)
{
u_int mask = 0;
mask |= 1 << SSH_CIPHER_3DES; /* Mandatory */
mask |= 1 << SSH_CIPHER_BLOWFISH;
if (client) {
mask |= 1 << SSH_CIPHER_DES;
}
return mask;
}
------po uprave ----------------------
cipher_mask_ssh1(int client)
{
u_int mask = 0;
mask |= 1 << SSH_CIPHER_3DES; /* Mandatory */
mask |= 1 << SSH_CIPHER_BLOWFISH;
mask |= 1 << SSH_CIPHER_DES;
return mask;
}
-----------------------------------------
Muj problem No.2: Upravu zdrojaku jsem nejprve provadel
pomoci "mc" commanderu primo uvnitr balicku. I po ulozeni
upravy se do souboru ve skutecnosti nic nezapsalo, obsah
balicku se pro mc choval jako R/O filesystem bez prava zapisu.
Ale to jsem zjistil az pozdeji. :-(
Nezbylo nez balicek nainstalovat, rozbalit vznikly soubor
/usr/src/redhat/SOURCES/openssh-3.0.2p1.tar.gz
upravit cipher.c, znovu zarchivovat a zazipovat. Pak jsem
udelal rekonstrukci zdrojoveho balicku a kompilaci
cd /usr/src/redhat/SPECS
rpm -ba openssh.spec
nasledovala odinstalace stareho openssh a instalace
nove vzniklych binarnich balicku v /usr/src/redhat/RPMS
a nakonec uz jen
/etc/rc3.d/S55sshd stop (obvykle zbytecne diky odinstalaci)
/etc/rc3.d/S55sshd start
a demonek bezi jako novy, souhlasi nejen s 3DES, ale i s DES,
i kdyz ma namitky proti bezpecnosti.
Diky tomu nemam problem z Cisco smerovacu se dostat
na server s Linuxem. Obracene to chodio i pred tim.
Omlouvam se vsem, kterych jsem se dotkl polopatickym popisem,
privitam informace jak to priste udelat lepe
a hlavne dekuji panu Kankovskemu za radu tykajici se zdrojaku.
To byl klic k uspechu.
Jirí Sluka
sluka na siemens.com
Další informace o konferenci Linux