http://www.heise.de/security/Konsequenz ... ung/107921
//edit:
Code: Alles auswählen
$ ./chksslkey debianforum.de
https key from debianforum.de is weak
Code: Alles auswählen
$ ./chksslkey debianforum.de
https key from debianforum.de is weak
Also ganz schlau werd ich daraus aber auch noch nicht. Nur mal zum Verständnis: Auf einem verwundbaren System braucht der brute-forcer noch immer nen ssh-fähigen Usernamen um seine Attacke zu starten? Eincatdog2 hat geschrieben:Heise schreibt auch was dazu:
http://www.heise.de/security/Konsequenz ... ung/107921
Code: Alles auswählen
PermitRootLogin=no
Ack. Ist bekannt. Bin am überlegen ob ich übergangsweise erstma das Cert gegen ein Self-signed-Cert austausche, da ich seinerzeit das CACert.org-Cert für debianforum.de nicht erzeugt hab sondern blackm, der die Domain erst aus seinem Account rausnehmen muss ehe ich sie hinzufügen kann. Hab ich deshalb schon angeschrieben.catdog2 hat geschrieben://edit:Code: Alles auswählen
$ ./chksslkey debianforum.de https key from debianforum.de is weak
das interpretiere ich nicht als Animositäten, generell sollte im Open Source Bereich immer versucht werden, solche Patches upstream einzupflegen und das ist hier einfach nicht passiert.KBDCALLS hat geschrieben:Was mich an der Sache etwas beunruhigt , wieso fliegt sowas erst nach rund zwei Jahren auf ? Anscheinend spielen da auch ein paar Animositäten eine Rolle , wenn ich mir so die ersten Sätze der Artikels auf Heise durchlese.