C2021D13: Mogelijke inlogproblemen als gevolg van openssh update
Aankondiging: Mogelijke inlogproblemen als gevolg van openssh update
Beste klant/collega,
(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)
In de software update ronde van oktober zit ook een update van openssh naar versie 8.8. In deze versie wordt een ouder en onveilig algoritme (RSA SHA-1) gedisabled. Het gevolg kan zijn dat je met oude keys niet meer kan inloggen, of geen uitgaande ssh sessies naar bv bitbucket kan doen. In de releasenotes van OpenSSH wordt uitgelegd wat er veranderd is:
This release disables RSA signatures using the SHA-1 hash algorithm
by default. This change has been made as the SHA-1 hash algorithm is
cryptographically broken, and it is possible to create chosen-prefix
hash collisions for <USD$50K
Probleem: Ik kan niet meer inloggen op upload-(test)sites.omroep.nl
Dit wordt waarschijnlijk veroorzaakt doordat de key waarmee je probeert in te loggen te oud is. Dit zal een key van type RSA SHA-1 zijn en deze wordt nu afgekeurd door de server wegens te onveilig.
De oplossing hiervoor is om een nieuw keypair aan te maken. Bij het
aanmaken van een keypair kan je het type key kiezen. De default hiervoor
is rsa-sha2-512
, wat prima is. Er zijn ook andere prima keuzes als
ed25519
. Wat je in elk geval niet moet kiezen is rsa
, omdat
er dan weer een key van type RSA SHA-1 gegenereerd wordt kan
worden1) en ook niet
een dsa
of ecdsa
key omdat die beschouwd worden als
onveilig.
Het aanmaken van een nieuw keypair onder Linux en macOS kan met
ssh-keygen
, bijvoorbeeld:
ssh-keygen -t ed25519
Voor andere ssh clients kan vaak op gelijksoortige wijze een nieuw keypair gemaakt worden. Voordat je dat doet is het aan te raden om eerst te checken of de client die je gebruikt nog wel up-to-date is. Oudere clients kunnen mogelijk niet de benodigde key types aanmaken.
Vervolgens kan je een support ticket aanmaken met het verzoek om de zojuist gemaakt public key aan je account toe te voegen. Vergeet in de aanvraag niet om:
-
je public key mee te sturen
-
te vertellen over welk account het gaat
Probleem: Ik kan wel inloggen op upload-(test)sites.omroep.nl, maar kan vanaf daar niet meer over ssh bij bitbucket
Een veel gebruikte manier van werken is om op
upload-(test)sites.omroep.nl een checkout van een git repository op
bitbucket te hebben staan, en dan bij een deploy iets te doen als git
pull
van de betrokken repository.
Als je checkout via ssh gemaakt is (git clone git@bitbucket.org:<repo>
)
dan zal een latere git pull
resulteren in een uitgaande ssh sessie
naar bitbucket. Echter, daar is een probleem, want de NPO systemen
ondersteunen standaard geen oude keypairs meer, terwijl bitbucket nog geen
nieuwe keypairs ondersteunt.
Hier valt omheen te werken door aan de NPO kant in te stellen om
toch een oud keypair te gebruiken, door onderstaand stanza op te
nemen in ~/.ssh/config
van upload-(test)sites.omroep.nl:
Host bitbucket.org HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa
Op de atlassian support site staat een mooi artikel met iets meer uitleg.
Bereikbaarheid
Team Hosting&Streaming is gedurende al het onderhoud via de normale kanalen bereikbaar. Zie de contact pagina.