# sshd Host-Key?

## mijenix

Hi

Ich wollte sshd starten und da erscheint diese Meldungen:

 *Quote:*   

> 
> 
> Could not load host key: /etc/ssh/ssh_host_key
> 
> Could not load host key: /etc/ssh/ssh_host_rsa_key
> ...

 

Ich habe mit ssh-keygen ein key erstellt:

 *Quote:*   

> 
> 
> ssh-keygen -f /etc/ssh/ssh_host_key -t rsa1
> 
> ssh-keygen -f /etc/ssh/ssh_host_rsa_key -t rsa1
> ...

 

Trozdem kommt immer noch die Meldung, dass sshd den Key ned laden kann!

Wie kriege ich sshd zum laufen?

MfG Mathias

----------

## r6warrior

Das problem hatte ich auch. Ich hab sshd per rc-update add eingebunden. Nach einem reboot hat er den key selbsständig generiert. Danach lief es ...

----------

## mijenix

Hi

Kanst du mir erklähren wie ich das machen muss mit rc-update?

MfG Mathias

----------

## r6warrior

einfach ne console öffnen und dann

```

rc-update add sshd default

```

----------

## r6warrior

Achso, und wenns klappt würde ich sshd aber hinterher wieder rausschmeissen mit

```

rc-update del sshd default

```

... wegen die häckers ...   :Wink: 

----------

## mijenix

Hi

Danke jetzt klappts!

MfG Mathias

----------

## pi

hi,

ein wenig 'von hinten durch die brust' mein ihr nicht?

den fehler hättest du nie erhalten dürfen. warum? sieh weiter unten:

damit sshd arbeiten kann braucht es die key-files.

du kannst die key files selbst erstellen. das script /etc/init.d/sshd erstellt selbst die key files wenn sie nicht vorhanden sind. wenn du wissen willst wie du zu deinen key files kommst schau dir einfach das script an  :Wink: 

warum hättest du den fehler nie erhalten dürfen:

1. weil du dir die key files selbst generieren solltest um zu beeinflussen/wissen wie stark deine verschlüssellung ist

2. du deine daemons (fast) immer mit /etc/init.d/<dienst> start|stop aufrufen bzw anhalten solltest.

Gruß

Peter

----------

## r6warrior

Leider hat das starten von sshd über die /etc/ini.d/ bei mir das gleiche problem verursacht wie bei mijenix. Eine generierung von hand hatte damals auch nicht geklappt. Deshalb hatte ich es damals eben 'von hinten durch die brust in den bauch' gemacht ... ergo ... es hatte geklappt. Und das der schlüssel standartmäßig mit 1024 bit generiert wird, sollte, glaub ich, jeder wissen, der mit linux arbeitet ... oder ?!?!?!?

----------

## mijenix

Hi

Da ich mich in einem Netz befinde das von aussen nicht erreichbar ist, mache ich mir nicht all zu grosse Sorgen. Wenn ich wüsste es könnte jemand von aussen zugreiffen, dann würde ich das sicher weiter hinterfragen! Ich weis ist nicht unbedingt das beste denken, aber im mom habe ich auch noch andere Probleme die ich lösen muss!

MfG Mathias

----------

## pi

Okay, wollte eigentlich darauf hinaus das man sich überlegen sollte ob man die standart von 1024 haben will. 

 *Quote:*   

> die Standardlänge von 1024 Bit wird nicht mehr als unumstritten sicher betrachtet.

 

Quelle: http://www.linuxwiki.de/OpenSSH

Es sei auf Bernstein seine Forschungen über die Sicherheit von RSH und den verwendeten Schlüssellängen verwiesen oder auf das LinuxMagazin  :Wink: 

 *Quote:*   

> Krypto-Experte Bruce Schneier hat zu dieser Unruhe einige klärende Worte beigetragen ( [4], [5]). Bis zum Jahr 2005 sind seiner Meinung nach folgende Schlüssellängen ausreichend sicher: 
> 
> Privatpersonen: 1280 Bit 
> 
> Firmen: 1536 Bit 
> ...

 

Quelle: http://www.linux-magazin.de/Artikel/ausgabe/2002/07/ssh2/ssh2.html

Vielleicht sollte man überlegen ob man im /etc/init.d/sshd auf minsestens 1280 geht...

Gruß

Peter

----------

## r6warrior

Danke für die info´s ...

----------

## Bender007

ich würde gern ssh einsetzten und zwar das ich den server von überall ansprechen kann. Ich hab den sshd dienst in per rc-update in den autostart eingebunden wollte mal fragen ob sshd ein grosses sicherheitsrisiko ist ?? Und mit welchen commando ich die 1280 Bit verschluesselung machen kann... Im moment hat der gentoo server sein schluessel selber generiert.

----------

## beejay

 *Bender007 wrote:*   

> ich würde gern ssh einsetzten und zwar das ich den server von überall ansprechen kann. Ich hab den sshd dienst in per rc-update in den autostart eingebunden wollte mal fragen ob sshd ein grosses sicherheitsrisiko ist ?? Und mit welchen commando ich die 1280 Bit verschluesselung machen kann... Im moment hat der gentoo server sein schluessel selber generiert.

 

Jeder offene Dienst stellt ein Sicherheitsrisiko dar -- wirklich jeder. Ich denke aber, dass Dein Rechner für einen Hacker nicht besonders attraktiv ist - eher für Script Kiddies, aber ich denke da würden sich die "Baukasten-Cr4CkinG-700|z" die Zähne dran ausbeissen.  :Wink: 

Aber trotzdem - zur Sicherheit nur die Dienste starten lassen, die man auch wirklich braucht -- alles andere ist fahrlässig. Zur Not kann man die entsprechenden Ports natürlich auch per Firewall sperren, aber am Sichersten ist eben ein toter Port: Wo kein Loch ist, kann man auch keinen Kufuß ansetzen.

----------

