[Todos CMAT] OBS: [PRIORIDAD] CAMBIO DE PASSWORD CUENTAS CMAT

German Correa germanc en cmat.edu.uy
Mar Mayo 7 18:06:07 -03 2024 

Estimados

Con respecto al correo que envié hoy en día. Hay personas que le está 
pasando que cuando hacen ssh usuario en troilo.cmat.edu.uy les aparece un 
cartél algo asi:


@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
blah
.
.
.
Offending RSA key in /home/usuario/.ssh/known_hosts:[numero]
.
.
.

Primero que nada, no hay ningún incidente ni nadie en el medio. El 4 de 
Marzo avisé varias veces que habían cambiado las claves SSH del host 
troilo y que les podía aparecer el cartel. Así que les vuelvo a enviar 
el correo de esa oportunidad para que puedan regularizar eso también en 
el equipo que sea que utilizan para conectarse.

On 4/3/24 09:41, German Correa wrote:
> Estimados Todos,
>
> Esté mensaje va dirigido para quienes hacen uso de conexiones remotas 
> hacia el CMat mediante el protocolo SSH hacia el host troilo.cmat.edu.uy.
>
> Las claves SSH del Host estaban antiguas y comprometía la seguridad 
> del equipo. Con esto quiero decir, que es probable que cuando intenten 
> conectarse tengan un "error" o advertencia que diga algo como:
>
> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> blah
> .
> .
> .
> Offending RSA key in /home/usuario/.ssh/known_hosts:[numero]
> .
> .
> .
>
> Es esperable, nadie está haciendo nada extraño, justamente al cambiar 
> las claves de SSH de Host y revocar las anteriores, el cliente SSH que 
> utilicen se va a "quejar" y está bien. Es por eso que les mando este 
> aviso.
>
> Para que ese mensaje no aparezca mas, ingresan el siguiente comando:
>
> ssh-keygen -R troilo.cmat.edu.uy
>
> Les debería devolver:
>
> Host troilo.cmat.edu.uy found: line [numero]
> /home/germanc/.ssh/known_hosts updated
>
> Si la salida no es esa o hace mención a que no se encontró el host
>
> Pueden intentar sin el dominio:
> ssh-keygen -R troilo
>
> a la dirección ip:
> ssh-keygen -R 164.73.82.22
>
> En ultima instancia si nada funciona, la forma manual:
>
> Borran la linea [numero] que mencioné mas arriba del archivo:
> $HOME/.ssh/known_hosts
>
> Cualquier duda me consultan.

On 7/5/24 14:00, German Correa wrote:
> Estimados,
>
> Este correo es para solicitarle a todo aquella persona integrante 
> activo del instituto o que participe en él (desde afuera) y tenga 
> cuenta de usuario en el CMat, que realice a la brevedad posible un 
> cambio de su contraseña.
>
> 1- No hay (a mi entender) una política de cambio de contraseña, es 
> habitual cambiarla o rotarla cada un tiempo razonable (1 o 2 años) por 
> razones de seguridad.
>
> 2- Hay una gran cantidad de cuentas en el CMat de muchos años de 
> personas que la mantienen activas (otras quizás no) y personas que van 
> y vienen, por lo tanto tampoco hay una política de desactivación 
> temporal o permanente de las cuentas y quedan "colgadas" sin control.
>
> 3- Actualmente en los últimos procesos de migración y maniobras que 
> estuvimos llevando acabo, también es el objetivo quitar el antiguo 
> sistema de "cuentas centralizadas" del CMat que es NIS, una tecnología 
> que es anterior a los 80 y por tanto hoy en día MUY INSEGURA.
>
> 3b - Los algoritmos de 'hash' (como se guardan las contraseñas) hay 
> casos que son obsoletos (md5 y crypt) esto es porque la cuenta quizá 
> se estableció hace mucho tiempo y nunca mas cambió la contraseña o 
> quedó en el abandono. ESTE CASO ES EL MAS IMPORTANTE DESDE LA 
> SEGURIDAD, porque cualquier persona que se haga con ese hash obsoleto, 
> en 5 minutos por fuerza bruta  hoy les adivina la contraseña.
>
> 4- Ya tenemos en producción un sistema de directorio de cuentas de 
> usuario mas moderno y nuevo, sus cuentas están creadas y pronto estará 
> en producción. Por lo que hacer el cambio de password en estos dias ya 
> les va a dejar sincronizada la cuenta en ambos sistemas y cuando se 
> haga el cambio, no deberían notarlo (transparente).
>
> Es por esas razones que solicitamos que hagan el siguiente procedimiento:
>
> 1- Se conectan a troilo (el de toda la vida por SSH), esto lo pueden 
> hacer desde una terminal de comandos en cualquier sistema operativo, 
> inician sesión con su password de hoy en día:
>
> ssh <usuario>@troilo.cmat.edu.uy
>
> 2- Una vez dentro de troilo, vuelven a establecer otro tunel SSH 
> interno y se conectan al equipo donde se hará el proceso guiado de 
> cambio de password (sesión igual que en troilo con su password de hoy 
> en día).
>
> ssh <usuario>@164.73.82.19
>
> 3- Desde ahí el proceso es guiado y por cualquier inconveniente se 
> comunican con nosotros (adminred en cmat.edu.uy). Una vez que terminan 
> los va a desconectar y si tuvieron exito no se van a poder volver a 
> conectar.
>
> Prueben su nueva password en:
>
> * https://webmail.cmat.edu.uy * https://filebox.cmat.edu.uy
>
> NOTA 1: Si por alguna razón no recuerdan su password del CMat, me 
> escriben y me indican nombre de cuenta y una casilla de correo privada 
> de ustedes y yo les hago llegar un e-mail con una password temporal de 
> 1 hora y  la misma explicación para que lo puedan realizar.
>
> NOTA 2: Quienes ADMINISTRAN la cuenta de CMAT DESDE GMAIL. Si realizan 
> el cambio de contraseña exitoso, tienen que volver a configurar en 
> GMail la nueva contraseña, sino no van a poder responder como @cmat 
> utilizando la interface de GMail.
>
> Desde ya muchas gracias y me escriben por cualquier duda o inconveniente.
>
> Saludos,
>
> GC
>

Más información sobre la lista de distribución Todos