Unsichere SSH-Schlüssel bei Linux-Hoster Linode

Der Server-Anbieter Linode hat seine Kunden vor einem Sicherheitsproblem gewarnt, durch das die verschlüsselten Verbindungen zu deren virtuellen Servern bedroht sind. Aufgrund eines Konfigurationsfehlers hatte Linode alle virtuellen Maschinen mit Ubuntu 15.10 zwischen dem 10. November 2015 und dem 4. Februar 2016 mit identischen SSH-Schlüsseln installiert. Dadurch können theoretisch alle Kunden die Verbindungen anderer Kunden zu ihren Servern entschlüsseln. Praktische Angriffe müssen allerdings ein paar Hürden überwinden.

Linode gibt an, dass die internen Netzwerkregeln im eigenen Netz Kunden davon abhalten, die Server anderer Kunden anzugreifen. Um den Netzwerkverkehr zu entschlüsseln müsste der Angreifer sich als Man-in-the-Middle in die Verbindung einschalten. Gefahr besteht demnach vor allem in unsicheren WLAN-Umgebungen oder bei manipuliertem DNS auf Seiten des Opfers.

Neue Schlüssel müssen her

Betroffene Kunden sollten nun auf jeden Fall neue SSH-Host-Schlüssel auf ihren Servern erzeugen. Linode empfiehlt, die vorhandenen Schlüssel zu löschen und über dpkg-reconfigure den SSH-Dienst anzuweisen, neue zu erzeugen. Mit Root-Rechten funktioniert das mit folgenden Befehlen:

rm -f /etc/ssh/ssh_host_*

dpkg-reconfigure openssh-server

service ssh restart

Eventuell sollte man diese Aktion über die Linode-eigene Konsole ausführen, da SSH-Verbindungen nötigerweise durch Neustart des SSH-Dienstes unterbrochen werden. Schlüsselbasierte Anmeldungen sollten durch die neuen Host-Schlüssel aber nicht beeinträchtigt werden.

Linode wurde in den vergangenen Wochen immer wieder Opfer von Angriffen auf sein Netzwerk. Unter anderem gab es ein mögliches Passwortleck und mehrere DDoS-Angriffe. Linode ist allerdings nicht der einzige Hoster, dem der Fehler mit den SSH-Schlüsseln unterlaufen ist. Anfang des Jahres war auch Hetzner mit einem ähnlichen Fauxpas in die Schlagzeilen geraten. (fab)