openssh - wie Versionsstring unterdruecken?

[Holger Marzen]

Beim Verbinden mit openssh liefert der sshd seine Version frei Haus.
Gibt es eine Möglichkeit dies zu unterbinden?

[Florian Weimer]

Holger Marzen <hol...@marzen.de> writes:

> Beim Verbinden mit openssh liefert der sshd seine Version frei Haus.
> Gibt es eine Möglichkeit dies zu unterbinden?

Ja (solange die Protokollversion erhalten bleibt). Empfehlenswert ist
es aber nicht, da man als defekt erkannte OpenSSH-Versionen möglichst
schnell austauschen möchte.

[Peter Schmidt]

In article <87bsbjk...@deneb.enyo.de>, f...@deneb.enyo.de says...

Will man ja auch .-)

ich glaube es geht Holger eher darum, etwas Vorsprung bei *zukünftigen*
Exploits zum Fixen zu haben; der (Vorsprung) ist bekanntlich durch
probende Scans recht klein.

Grüsse
Peter
--
mein Mailadresse ist echt *g*

[Holger Marzen]

* On Mon, 13 May 2002 21:25:16 +0200, Florian Weimer wrote:

> Holger Marzen <hol...@marzen.de> writes:
>
>> Beim Verbinden mit openssh liefert der sshd seine Version frei Haus.
>> Gibt es eine Möglichkeit dies zu unterbinden?
>
> Ja (solange die Protokollversion erhalten bleibt). Empfehlenswert ist

Es geht also nur im Quellcode? Eine Konfigoption habe ich nicht
gefunden.

[Juergen P. Meier]

Peter Schmidt <peter-nospam020...@kurzduscher.de> wrote:
> ich glaube es geht Holger eher darum, etwas Vorsprung bei *zukünftigen*
> Exploits zum Fixen zu haben; der (Vorsprung) ist bekanntlich durch
> probende Scans recht klein.

Dir sind die Zahlreichen CodeRed und NIMDA eintraege in
Apache-Logfiles bekannt?

Der Nutzen solch einer Aktion ist genau gleich Null.

Juergen
--
J...@lrz.fh-muenchen.de - "This World is about to be Destroyed!"

[Florian Weimer]

Holger Marzen <hol...@marzen.de> writes:

>> Ja (solange die Protokollversion erhalten bleibt). Empfehlenswert ist
>
> Es geht also nur im Quellcode?

Ja.

> Eine Konfigoption habe ich nicht gefunden.

Wie gesagt, ich halte das nicht für empfehlenswert. Bei uns bekämst Du
dann wohl regelmäßig Mail...

[Tino Reinhardt]

Juergen P. Meier <J...@lrz.fh-muenchen.de> wrote:
[Vorsprung durch Obskuritaet]

> Der Nutzen solch einer Aktion ist genau gleich Null.

Kleiner. man gefuehlte Sicherheit.

[Felix von Leitner]

Thus spake Holger Marzen (hol...@marzen.de):

> Beim Verbinden mit openssh liefert der sshd seine Version frei Haus.
> Gibt es eine Möglichkeit dies zu unterbinden?

Don't. Wenn kaputt, dann austauschen.
Du willst dir mal "compat.c" aus der openssh Distribution angucken denke
ich. openssh ist bei weitem nicht so rückwärts-kompatibel, wie es
aussieht.

Felix

[Holger Marzen]

* On 14 May 2002 05:48:05 GMT, Juergen P. Meier wrote:

> Peter Schmidt <peter-nospam020...@kurzduscher.de> wrote:
>> ich glaube es geht Holger eher darum, etwas Vorsprung bei *zukünftigen*
>> Exploits zum Fixen zu haben; der (Vorsprung) ist bekanntlich durch
>> probende Scans recht klein.
>
> Dir sind die Zahlreichen CodeRed und NIMDA eintraege in
> Apache-Logfiles bekannt?
>
> Der Nutzen solch einer Aktion ist genau gleich Null.

Security Firma ... tolles Scannertool zum Scannen der Websites über
Internet ... Tool meldet "Versionsstring wird angezeigt" und stuft dies
als "leichte Sicherheitslücke" ein ... Marzen ist Admin und würde bei
Wegfall des Strings nie mehr dem Management erklären müssen, dass die
Anzeige des Strings keine Sicherheitslücke ...

Ihr versteht?

--
Gegen den Fluglärmterror der US-Luftwaffe im Naturpark Saar-Hunsrück.
Für ein generelles Flugverbot an Sonn- und Feiertagen sowie nachts.
Ruhe ist ein Grundbedürfnis.

[Felix von Leitner]

Thus spake Holger Marzen (hol...@marzen.de):

> > Der Nutzen solch einer Aktion ist genau gleich Null.
> Security Firma ... tolles Scannertool zum Scannen der Websites über
> Internet ... Tool meldet "Versionsstring wird angezeigt" und stuft dies
> als "leichte Sicherheitslücke" ein ... Marzen ist Admin und würde bei
> Wegfall des Strings nie mehr dem Management erklären müssen, dass die
> Anzeige des Strings keine Sicherheitslücke ...

> Ihr versteht?

Nein. Marzen geht zum Management und erzählt ihnen, daß das Tool
vollständig total absolut und komplett im Arsch ist und sofort entsorgt
gehört. Ganz einfach.

[Rainer Weikusat]

Felix von Leitner <usenet-...@fefe.de> writes:
> Thus spake Holger Marzen (hol...@marzen.de):

[ Versions-String ]

> Nein. Marzen geht zum Management und erzählt ihnen, daß das Tool
> vollständig total absolut und komplett im Arsch ist und sofort entsorgt
> gehört. Ganz einfach.

Du hast wirklich eine rosige Meinung von 'der Menschheit' als solcher
...

[Christian Kahlo]

Felix von Leitner wrote:

[...]

> Nein. Marzen geht zum Management und erzählt ihnen, daß das Tool
> vollständig total absolut und komplett im Arsch ist und sofort entsorgt
> gehört. Ganz einfach.

Harhar.

Fefe, selten so gelacht.

Gruss,
Christian

[Joerg Luttmer]

Felix von Leitner <usenet-...@fefe.de> schrieb:

>Thus spake Holger Marzen (hol...@marzen.de):

>> Security Firma ... tolles Scannertool zum Scannen der Websites über
>> Internet ... Tool meldet "Versionsstring wird angezeigt" und stuft
>dies
>> als "leichte Sicherheitslücke" ein ... Marzen ist Admin und würde bei
>> Wegfall des Strings nie mehr dem Management erklären müssen, dass die
>> Anzeige des Strings keine Sicherheitslücke ...
>
>> Ihr versteht?
>
>Nein. Marzen geht zum Management und erzählt ihnen, daß das Tool
>vollständig total absolut und komplett im Arsch ist und sofort entsorgt
>gehört. Ganz einfach.

Kann ich auch nicht verstehen. Ich wuerde es aber eher so formulieren:
Marzen geht zum Management und erzaehlt Ihnen, dass die "Security"
Firma bloedsinn erzaehlt, da sie noch nicht einmal das Ergebnis des
Scanner erklaeren kann... Soweit ich "diese" Produkte kenne, geben sie
nur das aus, nach dem man fragt. Der Rest (und auch die Hauptarbeit
n.m.M.) ist die Interpretation, wofuer die Security Firma auch teuer
bezahlt wird.

Viele Gruesse,

/Joerg

--
Joerg Luttmer
" . " @atosorigin.com
0xEC8638D3 GnuPG

[Dirk Ohme]

Hallo Holger,

> Marzen ist Admin und würde bei Wegfall des
> Strings nie mehr dem Management erklären
> müssen, dass die Anzeige des Strings keine
> Sicherheitslücke ...

erkläre dem Management, dass durch Anzeige des Strings alle Welt
wissen soll, *was* Ihr einsetzt, denn die Software, die Ihr einsetzt,
ist dafür bekannt, dass sie sicher ist. Es ist also ein
Qualitätsmerkmal und schreckt potentielle Hacker ab.

So long,
-+- Dirk -+-

PS: man Marketing ... oder lies' Dilbert ;-)

[Felix von Leitner]

Thus spake Christian Kahlo (chri...@empire.weimar.thur.de):
> Fefe, selten so gelacht.

Worked for me!

Felix

--
F: "Eine Freundin sucht einen billigen Geschirrspuehler."
A: "Wie waers mit heiraten?"
--seen in bln.markt

[Felix von Leitner]

Thus spake Rainer Weikusat (weik...@students.uni-mainz.de):

> > Nein. Marzen geht zum Management und erzählt ihnen, daß das Tool
> > vollständig total absolut und komplett im Arsch ist und sofort entsorgt
> > gehört. Ganz einfach.
> Du hast wirklich eine rosige Meinung von 'der Menschheit' als solcher
> ...

Nein, wieso? Wenn El Cheffe diesem Argument nicht zugänglich ist, dann
weißt du, daß du den falschen Job hast. Mit rosiger Meinung hat das
nichts zu tun.

Felix

[Rainer Weikusat]

Felix von Leitner <usenet-...@fefe.de> writes:

> Thus spake Rainer Weikusat (weik...@students.uni-mainz.de):
> > > Nein. Marzen geht zum Management und erzählt ihnen, daß das Tool
> > > vollständig total absolut und komplett im Arsch ist und sofort entsorgt
> > > gehört. Ganz einfach.
> > Du hast wirklich eine rosige Meinung von 'der Menschheit' als solcher
> > ...
>
> Nein, wieso? Wenn El Cheffe diesem Argument nicht zugänglich ist, dann
> weißt du, daß du den falschen Job hast.

Nein, er/sie/es. Lediglich hilft das mir nichts.