<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 7 January 2014 07:29, Torge Riedel <span dir="ltr"><<a href="mailto:torgeriedel@gmx.de" target="_blank">torgeriedel@gmx.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

Hi @all,<br>
<br>
I used the draft paper to harden my private server (ssh, mail, web). And it was good help. I was faced with two things:<br>
<br>
1.<br>
In my /etc/ssh/sshd_config (Ubuntu 12.04 LTS) I have three entries:<br>
<br>
HostKey /etc/ssh/ssh_host_dsa_key<br>
HostKey /etc/ssh/ssh_host_rsa_key<br>
HostKey /etc/ssh/ssh_host_ecdsa_key<br>
<br>
As told in the document I commented the first entry to disable DSA. Checking with ssh -vvv I saw that it seems to use ECDSA on connection. As there is no reference to ECDSA in the paper:<br>
<br>
Q: Is it more ore less secure than RSA? And should I disable one of these (RSA / ECDSA)?<br>
<br>
2.<br>
At the first time it was not really clear for me that my OpenSSH version does not support the ...@<a href="http://openssh.org" target="_blank">openssh.org</a> / ...@<a href="http://libssh.org" target="_blank">libssh.org</a> Ciphers / MACs / KexAlgorithms. Afterwards no connection was possible.<br>


Luckily I still had a connection open, so I was able to fix that. I think there should be at least a good placed / formatted hint in the document, that this should be checked / tested well.<br></blockquote><div><br></div>

<div>+1 as many people seem to have problems with this (including me :) ). This is also discussed in other threads. I suggest to add the advise to test the configuration with </div><div><br></div><div>/usr/sbin/sshd -t<br>

</div><div><br></div><div>try and error with two open ssh connections is also possible but can lead to problems (connection timeout and you're not able to revoke the config and you're out ... )</div><div><br></div>

</div>-- <br><div dir="ltr">Andy Wenk<br>Hamburg - Germany<br>RockIt!<br><br><a href="http://www.couchdb-buch.de" target="_blank">http://www.couchdb-buch.de</a><br><a href="http://www.pg-praxisbuch.de" target="_blank">http://www.pg-praxisbuch.de</a><br>

<br><div><div>GPG fingerprint: <span style="color:rgb(0,0,0);white-space:pre-wrap">C044 8322 9E12 1483 4FEC  9452 B65D 6BE3 9ED3 9588</span></div></div><div><span style="color:rgb(0,0,0);white-space:pre-wrap"><br></span></div>

<div><font color="#000000"><span style="white-space:pre-wrap"><a href="https://people.apache.org/keys/committer/andywenk.asc" target="_blank">https://people.apache.org/keys/committer/andywenk.asc</a></span></font><br></div>

</div>
</div></div>