Я должен заменить ключи для OpenSSH в ответ на Heartbleed?
Я полагаю, что у Вас есть отдельный 'виртуальный' сервер. Необходимо настроить тот виртуальный сервер, прежде чем что-либо сможет быть сделано. Вместо того, чтобы совместно использовать сервер и иметь ограниченный доступ, у Вас есть полный доступ к работе с сервером. Это - намного более мощный способ работать с ним.
Это во многом как выполнение сервера VPS, кроме только для баз данных.
Уязвимость не затрагивает openssh , она затрагивает openssl .
Эта библиотека используется многими сервисами, включая openssh .
На данный момент кажется очевидным, что openssh не подвержен этой уязвимости, потому что OpenSSH использует протокол SSH, а не уязвимый протокол TLS. Маловероятно, что ваш закрытый ключ ssh находится в памяти и может быть прочитан уязвимым процессом - возможно, но маловероятно.
Конечно, вы все равно должны обновить версию openssl .
Обратите внимание, что если вы обновили openssl , вам также необходимо перезапустить все службы, которые его используют.
Это включает программное обеспечение, такое как VPN-сервер, веб-сервер, почтовый сервер, балансировщик нагрузки, ...
Таким образом, похоже, что SSH не затронут:
Как правило, это влияет на вас, если вы запускаете сервер, на котором в какой-то момент сгенерировали ключ SSL. Типичных конечных пользователей (напрямую) не затрагивает. SSH не затрагивается. Это не влияет на распространение пакетов Ubuntu (он основан на подписях GPG).
Источник: спросите ubuntu: Как исправить CVE-2014-0160 в OpenSSL?
В отличие от того, что здесь сказали другие Шнайер говорит «да»
По сути, злоумышленник может захватить 64 КБ памяти с сервера. В атака не оставляет следов, и ее можно проводить несколько раз, чтобы захватить разные случайные 64К памяти. Это означает, что все в памяти - Закрытые ключи SSL, пользовательские ключи, что угодно - уязвимо. И у тебя есть предположить, что все это скомпрометировано. Все это.
Дело не в том, что ssh (любой тип) был напрямую затронут, но ключи ssh могут храниться в памяти, и к ней можно получить доступ. Это касается практически всего, что хранится в памяти и считается секретным.
OpenSSH не использует расширение Heartbeat, поэтому OpenSSH не затрагивается. Ваши ключи должны быть в безопасности до тех пор, пока ни один процесс OpenSSL, использующий сердцебиение, не имеет их в своей памяти, но это обычно очень маловероятно.
Так что, если вы / должны быть немного параноиком, замените их, если нет, вы можете спать относительно хорошо, не делая этого.