VN>> "Повторяю мысль": админ/юзер, который о криптографии хочет и VN>> может знать только то, что она достаточно надёжна для его задач, VN>> может и не помнить, что DSS чем-то с точки зрения спецов плох. VN>> Это не его задача.
EG> Ему не надо этого помнить. Ему надо Release Notes перед мажорным EG> обновлением прочитать и всё.
И снова про то, что проблема описана там, куда надо ещё догадаться добраться прочитать, ты игнорируешь, что тебе говорят уже три опытных админа.
EG> 20080801: EG> OpenSSH has been upgraded to 5.1p1.
EG> For many years, FreeBSD's version of OpenSSH preferred DSA EG> over RSA for host and user authentication keys. With this EG> upgrade, we've switched to the vendor's default of RSA over EG> DSA. [skip]
EG> This can be circumvented by setting the "HostKeyAlgorithms" EG> option to "ssh-dss,ssh-rsa" in ~/.ssh/config or on the ssh EG> command line.
Это _предпочтение_. А вычистка из поддержки в аплинке это только два года (август 2015).
EG> перейти на RSA уже тогда. А "For many years" уже тогда означало около EG> семи лет - соответствующее изменение в OpenSSH CVS Head было сделано в EG> конце 2000-го, а зарелизено, видимо, в 2001. EG> Так что тенденции-то этой втрое больше, чем 5 лет.
Hет. Потому что само по себе различие подходов разных источников (и предпочтение DSS во FreeBSD) показывало, что позиция "DSS всё" далеко не однозначно поддерживается (а опёнки тут во многом имели достаточно странную позицию, поэтому их слушали краем уха).
VN>> И если происходит такое критическое удаление компонента из VN>> инфраструктуры, где отказ доступа может приводить к серьёзнейшим VN>> затратам на его восстановление - об этом _должны_ предупреждать VN>> заранее и плотно, и никак не где-то внутри одного продукта.
EG> Во-первых, в бесплатных пакетах никто ничего не должен :-)
Должен. Своей репутации и всем её последствиям. Впрочем, openssh'ники о ней и так не сильно заботятся.
EG> Во-вторых, предупреждали сильно заранее, и не сильно заранее тоже EG> (год-полтора назад), и непосредственно перед (в ReleaseNotes), EG> а что такое "плотно", мне непонятно - по радио каждый день передавать?
При каждом коннекте, если не batch mode, для клиентского ключа. В security run, как уже говорил. Этого достаточно, чтобы в течение пары лет точно создать поле воздействия. Можно в mergemaster добавить хэндлеры.
VN>> Hапример, меня бы устроила тут жалоба в каждом security run VN>> output. Почему вот такое для какого-то хреноминорного модуля VN>> сделали: p5-Net-SMTP-SSL-1.04: Tag: expiration_date Value: VN>> 2017-03-31 p5-Net-SMTP-SSL-1.04: Tag: deprecated Value: VN>> Deprecated by upstream, use Net::SMTP instead а для SSH - молчат?
EG> Hу тебя может бы и устроила, но те, кто не читает Release Notes хотя EG> бы раз в мажорный апгрейд, в большинстве своём и ежедневный run output EG> тоже не ага.
И опять двадцать пять за рыбу деньги. Что этого не было в release notes, и что должно было быть красными буквами, уже выяснили.
-netch-
... Разве я осмелился бы предложить даме водки? Это же чистейший спирт!
--- * Origin: Dark side of coredump (2:463/68.300)
