This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong. ~~META: title = C2021D13: Mogelijke inlogproblemen als gevolg van openssh update ~~ {{htmlmetatags> metatag-keywords=(software update openssh 8.8) metatag-og:title=(Mogelijke inlogproblemen als gevolg van openssh update) metatag-og:description=( In de software update ronde van oktober zit ook een update van openssh naar versie 8.8. In deze versie wordt een ouder en onveilig algoritme (RSA SHA-1) gedisabled. Het gevolg kan zijn dat je met oude keys niet meer kan inloggen, of geen uitgaande ssh sessies naar bv bitbucket kan doen. Lees hieronder wat daaraan te doen valt. ) }} ====== C2021D13: Mogelijke inlogproblemen als gevolg van openssh update ====== ====== Aankondiging: Mogelijke inlogproblemen als gevolg van openssh update ====== Beste klant/collega, (Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].) In de [[c2021d13-software-updates-202110|software update ronde van oktober]] zit ook een update van openssh naar versie 8.8. In deze versie wordt een ouder en onveilig algoritme (RSA SHA-1) gedisabled. Het gevolg kan zijn dat je met oude keys niet meer kan inloggen, of geen uitgaande ssh sessies naar bv bitbucket kan doen. In de [[https://www.openssh.com/txt/release-8.8|releasenotes]] van OpenSSH wordt uitgelegd wat er veranderd is: >This release disables RSA signatures using the SHA-1 hash algorithm >by default. This change has been made as the SHA-1 hash algorithm is >cryptographically broken, and it is possible to create chosen-prefix >hash collisions for <USD$50K ====== Probleem: Ik kan niet meer inloggen op upload-(test)sites.omroep.nl ====== Dit wordt waarschijnlijk veroorzaakt doordat de key waarmee je probeert in te loggen te oud is. Dit zal een key van type RSA SHA-1 zijn en deze wordt nu afgekeurd door de server wegens te onveilig. De oplossing hiervoor is om een nieuw keypair aan te maken. Bij het aanmaken van een keypair kan je het type key kiezen. De default hiervoor is ''rsa-sha2-512'', wat prima is. Er zijn ook andere prima keuzes als ''ed25519''. Wat je in elk geval **niet** moet kiezen is ''rsa'', omdat er dan weer een key van type RSA SHA-1 gegenereerd wordt kan worden((afhankelijk van de exacte versie van de ssh client die je gebruikt om de keys mee te genereren, nieuwere clients genereren rsa-sha2-512 als je om rsa vraagt)) en ook **niet** een ''dsa'' of ''ecdsa'' key omdat die beschouwd worden als [[https://nbeguier.medium.com/a-real-world-comparison-of-the-ssh-key-algorithms-b26b0b31bfd9|onveilig]]. Het aanmaken van een nieuw keypair onder Linux en macOS kan met ''ssh-keygen'', bijvoorbeeld: <code> ssh-keygen -t ed25519 </code> Voor andere ssh clients kan vaak op [[:glossary:ssh|gelijksoortige wijze]] een nieuw keypair gemaakt worden. Voordat je dat doet is het aan te raden om eerst te checken of de client die je gebruikt nog wel up-to-date is. Oudere clients kunnen mogelijk niet de benodigde key types aanmaken. Vervolgens kan je een [[https://support.npohosting.nl/|support ticket]] aanmaken met het verzoek om de zojuist gemaakt public key aan je account toe te voegen. Vergeet in de aanvraag niet om: * je **public** key mee te sturen * te vertellen over welk account het gaat ====== Probleem: Ik kan wel inloggen op upload-(test)sites.omroep.nl, maar kan vanaf daar niet meer over ssh bij bitbucket ====== Een veel gebruikte manier van werken is om op upload-(test)sites.omroep.nl een checkout van een git repository op bitbucket te hebben staan, en dan bij een deploy iets te doen als ''git pull'' van de betrokken repository. Als je checkout via ssh gemaakt is (''git clone git@bitbucket.org:<repo>'') dan zal een latere ''git pull'' resulteren in een uitgaande ssh sessie naar bitbucket. Echter, daar is een probleem, want de NPO systemen ondersteunen standaard geen oude keypairs meer, terwijl bitbucket nog geen nieuwe keypairs ondersteunt. Hier valt omheen te werken door aan de NPO kant in te stellen om //toch// een oud keypair te gebruiken, door onderstaand stanza op te nemen in ''~/.ssh/config'' van upload-(test)sites.omroep.nl: <code> Host bitbucket.org HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa </code> Op de atlassian support site staat een mooi artikel met iets meer [[https://community.atlassian.com/t5/Bitbucket-articles/OpenSSH-8-8-client-incompatibility-and-workaround/ba-p/1826047|uitleg]]. ==== Bereikbaarheid ==== Team Hosting&Streaming is gedurende al het onderhoud via de normale kanalen bereikbaar. Zie de [[:contact|contact pagina]]. aankondigingen/2021/c2021d13-openssh-8.8.txt Last modified: 2025/05/13 16:42by 127.0.0.1 Log In