[Todos CMAT] OBS: [PRIORIDAD] CAMBIO DE PASSWORD CUENTAS CMAT
German Correa
germanc en cmat.edu.uy
Mar Mayo 7 18:06:07 -03 2024
Estimados
Con respecto al correo que envié hoy en día. Hay personas que le está
pasando que cuando hacen ssh usuario en troilo.cmat.edu.uy les aparece un
cartél algo asi:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
blah
.
.
.
Offending RSA key in /home/usuario/.ssh/known_hosts:[numero]
.
.
.
Primero que nada, no hay ningún incidente ni nadie en el medio. El 4 de
Marzo avisé varias veces que habían cambiado las claves SSH del host
troilo y que les podía aparecer el cartel. Así que les vuelvo a enviar
el correo de esa oportunidad para que puedan regularizar eso también en
el equipo que sea que utilizan para conectarse.
On 4/3/24 09:41, German Correa wrote:
> Estimados Todos,
>
> Esté mensaje va dirigido para quienes hacen uso de conexiones remotas
> hacia el CMat mediante el protocolo SSH hacia el host troilo.cmat.edu.uy.
>
> Las claves SSH del Host estaban antiguas y comprometía la seguridad
> del equipo. Con esto quiero decir, que es probable que cuando intenten
> conectarse tengan un "error" o advertencia que diga algo como:
>
> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> blah
> .
> .
> .
> Offending RSA key in /home/usuario/.ssh/known_hosts:[numero]
> .
> .
> .
>
> Es esperable, nadie está haciendo nada extraño, justamente al cambiar
> las claves de SSH de Host y revocar las anteriores, el cliente SSH que
> utilicen se va a "quejar" y está bien. Es por eso que les mando este
> aviso.
>
> Para que ese mensaje no aparezca mas, ingresan el siguiente comando:
>
> ssh-keygen -R troilo.cmat.edu.uy
>
> Les debería devolver:
>
> Host troilo.cmat.edu.uy found: line [numero]
> /home/germanc/.ssh/known_hosts updated
>
> Si la salida no es esa o hace mención a que no se encontró el host
>
> Pueden intentar sin el dominio:
> ssh-keygen -R troilo
>
> a la dirección ip:
> ssh-keygen -R 164.73.82.22
>
> En ultima instancia si nada funciona, la forma manual:
>
> Borran la linea [numero] que mencioné mas arriba del archivo:
> $HOME/.ssh/known_hosts
>
> Cualquier duda me consultan.
On 7/5/24 14:00, German Correa wrote:
> Estimados,
>
> Este correo es para solicitarle a todo aquella persona integrante
> activo del instituto o que participe en él (desde afuera) y tenga
> cuenta de usuario en el CMat, que realice a la brevedad posible un
> cambio de su contraseña.
>
> 1- No hay (a mi entender) una política de cambio de contraseña, es
> habitual cambiarla o rotarla cada un tiempo razonable (1 o 2 años) por
> razones de seguridad.
>
> 2- Hay una gran cantidad de cuentas en el CMat de muchos años de
> personas que la mantienen activas (otras quizás no) y personas que van
> y vienen, por lo tanto tampoco hay una política de desactivación
> temporal o permanente de las cuentas y quedan "colgadas" sin control.
>
> 3- Actualmente en los últimos procesos de migración y maniobras que
> estuvimos llevando acabo, también es el objetivo quitar el antiguo
> sistema de "cuentas centralizadas" del CMat que es NIS, una tecnología
> que es anterior a los 80 y por tanto hoy en día MUY INSEGURA.
>
> 3b - Los algoritmos de 'hash' (como se guardan las contraseñas) hay
> casos que son obsoletos (md5 y crypt) esto es porque la cuenta quizá
> se estableció hace mucho tiempo y nunca mas cambió la contraseña o
> quedó en el abandono. ESTE CASO ES EL MAS IMPORTANTE DESDE LA
> SEGURIDAD, porque cualquier persona que se haga con ese hash obsoleto,
> en 5 minutos por fuerza bruta hoy les adivina la contraseña.
>
> 4- Ya tenemos en producción un sistema de directorio de cuentas de
> usuario mas moderno y nuevo, sus cuentas están creadas y pronto estará
> en producción. Por lo que hacer el cambio de password en estos dias ya
> les va a dejar sincronizada la cuenta en ambos sistemas y cuando se
> haga el cambio, no deberían notarlo (transparente).
>
> Es por esas razones que solicitamos que hagan el siguiente procedimiento:
>
> 1- Se conectan a troilo (el de toda la vida por SSH), esto lo pueden
> hacer desde una terminal de comandos en cualquier sistema operativo,
> inician sesión con su password de hoy en día:
>
> ssh <usuario>@troilo.cmat.edu.uy
>
> 2- Una vez dentro de troilo, vuelven a establecer otro tunel SSH
> interno y se conectan al equipo donde se hará el proceso guiado de
> cambio de password (sesión igual que en troilo con su password de hoy
> en día).
>
> ssh <usuario>@164.73.82.19
>
> 3- Desde ahí el proceso es guiado y por cualquier inconveniente se
> comunican con nosotros (adminred en cmat.edu.uy). Una vez que terminan
> los va a desconectar y si tuvieron exito no se van a poder volver a
> conectar.
>
> Prueben su nueva password en:
>
> * https://webmail.cmat.edu.uy * https://filebox.cmat.edu.uy
>
> NOTA 1: Si por alguna razón no recuerdan su password del CMat, me
> escriben y me indican nombre de cuenta y una casilla de correo privada
> de ustedes y yo les hago llegar un e-mail con una password temporal de
> 1 hora y la misma explicación para que lo puedan realizar.
>
> NOTA 2: Quienes ADMINISTRAN la cuenta de CMAT DESDE GMAIL. Si realizan
> el cambio de contraseña exitoso, tienen que volver a configurar en
> GMail la nueva contraseña, sino no van a poder responder como @cmat
> utilizando la interface de GMail.
>
> Desde ya muchas gracias y me escriben por cualquier duda o inconveniente.
>
> Saludos,
>
> GC
>
Más información sobre la lista de distribución Todos