Sophos Ssh Key Problem

Problem: #

Ich verwende die Public Key Authentification zur Anmeldung per SSH bei allen Systemen, sofern das möglich ist. Das bringt zum Einen einen Sicherheitsvorteil gegenüber der Password Authentication, erhöht aber zudem auch noch den Komfort.

So hatte ich das auch bei der Sophos Appliance gehandhabt, da ich dort öfter mal die Logs durchsuchen bzw. filtern muss. Das geht zwar auch über die Web-GUI, ist jedoch für mich einfacher und schneller über die Konsole zu regeln.

Nun wurde mir - wohl nach einem Update - der Zugang mit der Fehlermeldung: Failed SSH login attempt from 192.168.xxx.xxx at 2022-09-12 11:32:45 with username xxxx angezeigt.

Nachdem die üblichen Korrekturmaßnahmen (Reboot, Dienst re-aktieren, Keys neu eintragen) keine Besserung brachten, habe ich google befragt, was aber auch keine verwertbaren Informationen brachte.

Der Login über Password ging zwar zumindest noch, allerdings ist dieser für den root user nicht konfigurierbar.

Lösung: #

Als mich der fehlende Komfort dann doch zu sehr genervt hat, begab ich mich seitens openssh auf die erneute Suche und wurde dann auch fündig.

Ich hatte für die Sophos Appliance noch RSA-Keys im Einsatz, und die wurden wohl seit dem letzten Update nicht mehr aktzeptiert.

Abhilfe war dann schnell zu erreichen, indem ich mir neue Schlüsselpaare mit dem ED25519 Algorythmus erzeugt habe und diese über die Web-GUI eingetragen habe.

Lessons learned: #

• Obwohl die Userbase bei der Firewall doch recht groß sein dürfte, ist das wohl noch keinem aufgefallen?
• Die Web-GUI der Sophos Appliance aktzeptiert weiterhin die hochgeladenen RSA Publickeys, ohne darauf hinzuweisen, dass diese nicht mehr funktionieren
• openssh bzw. ssh-keygen erzeugt standardmäßig immer noch RSA-2048 Keys, die allgemein nicht mehr als sicher gelten. Man muss also mit z.B. ssh-keygen -t ed25519 extra einen besseren Algorythmus auswählen.
• Ich poste das hier in der Hoffnung, daß der Nächste, der danach sucht, auch etwas findet ;-)