何でも書くよ!

福岡在住の会社員、「KJ」の散財しまくりブログ。山登り、温泉、ケータイ、カメラ、家電ネタなど
4

RockDiskNext カスタマイズ (3) - openssl

※自己責任でお願いいたします。
 本記事の内容より、新しい変更内容をまとめた記事があります。
 こちら


RockDiskNextのコンソール接続は、sshではなく、telnet。
これも精神衛生上よくないので、ssh接続できるよう、
sshdを有効化する。

$ sudo chkconfig sshd on
$ sudo /etc/init.d/sshd start
Generating SSH1 RSA host key:          [FAILED]

なんじゃこら。

どこでこけているかを調べてみる。
/etc/init.d/sshdの中のdo_rsa1_keygen()、
$KEYGEN -q -t rsa1 -f $RSA1_KEY -C '' -N ''で止まっていた。

$KEYGEN、$RSA1_KEYはそれぞれ、

KEYGEN=/usr/bin/ssh-keygen
RSA1_KEY=/etc/ssh/ssh_host_key

で定義されているので、これに置き換えてコンソールで実行。

$ /usr/bin/ssh-keygen -q -t rsa1 -f /etc/ssh/ssh_host_key -C '' -N ''
OpenSSL version mismatch. Built against 10000003, you have 1000201f

うーん。
このキーワードでググっても、yumでupdate、とか、opensslのリビルド、と、
厳しいものばかり。クロスコンパイル環境でもあればすぐできるんだけど。。
ということで、そもそも、インストールされているopensslのバージョンを調べてみる。

$ rpm -qa | grep openssl
openssl-1.0.2a-1.armv5tel

fc12がついていない。アップデートされているものと推測される。

アップデータを辿ってみると、20141231版でopenssl-1.0.1j-1.armv5telに、
20150429版でopenssl-1.0.2a-1.armv5telに上がっているようだ。

前の記事でも書いたが、ベースはarmv5のfedora12なので、
では、そもそもどのバージョンのopensslだったのか、以下のサイトで調べてみる。


http://ftp.linux.org.uk/pub/linux/arm/fedora/
pub/fedora/linux/releases/12/Everything/arm/os/Packages/


fedora12は、openssl-1.0.0-0.10.beta3.fc12.armv5tel.rpmのようなので、
パッケージを入手し強引に古いバージョンを入れてみる。

$ sudo rpm -Uvh --oldpackage openssl-1.0.0-0.10.beta3.fc12.armv5tel.rpm
Preparing... ########################################### [100%]
   1:openssl ########################################### [100%]

試しに、sshdを起動させてみる。

$ sudo /etc/init.d/sshd start
Generating SSH1 RSA host key:          [ OK ]
Generating SSH2 RSA host key:          [ OK ]
Generating SSH2 DSA host key:          [ OK ]
Starting sshd:                         [ OK ]

ビンゴ!!
ここで、該当バージョンについて調べてみたところ、
opensslの1.0.0~はHEARTBLEEDは該当せず、
SSLv3の問題(POODLE)のみが該当。

セキュリティ的には好ましくないが、個人的にはtelnetで
運用するほうがセキュリティ的にイヤなので、このまま運用する。
合わせて、telnetを停止させる。

/etc/xinet.d/telnetを編集(disable=yes)する。

# default: on
# description: The telnet server serves telnet sessions; it uses \
# unencrypted username/password pairs for authentication.
service telnet
{
    disable = yes
    flags = REUSE
    socket_type = stream
    wait = no
    user = root
    server = /usr/sbin/in.telnetd
    log_on_failure += USERID
}

xinetdをrestartさせることでとりあえず、対応完。

$ sudo /etc/init.d/xinetd restart
Stopping xinetd:     [ OK ]
Starting xinetd:     [ OK ]

この件は暫定対応。もう少し調査する必要あり。
関連記事
スポンサーサイト

該当の記事は見つかりませんでした。

-4 Comments

hkato says..."RedSleeve RPM"
RedSleeveのRPMパッケージを持ってきて、

$ ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

で動いている様です。
2016.08.04 00:10 | URL | #- [edit]
KJ says..."Re: RedSleeve RPM"
hkato さま

コメントありがとうございます!!
早速週末試してみます。結果は別途記事にします。

> RedSleeveのRPMパッケージを持ってきて、
>
> $ ssh -V
> OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
>
> で動いている様です。
2016.08.04 23:58 | URL | #- [edit]
hkato says..."RSEL6化"
調子に乗って

他のパッケージもRSEL6化してみました。
http://qiita.com/hkato/items/afa36fdc146f6f6d176f

ご心配のglibcに関してはそのままです。
2016.08.07 00:00 | URL | #- [edit]
KJ says..."Re: RSEL6化"
hkato さま

記事、拝見させていただきました。

iodataも挑戦者ブランドで出したのであれば、SDKくらい提供してくれても
良さそうですけどね。もうiodataにとっては過去の話なんでしょうけど。

> 調子に乗って
>
> 他のパッケージもRSEL6化してみました。
> http://qiita.com/hkato/items/afa36fdc146f6f6d176f
>
> ご心配のglibcに関してはそのままです。
2016.08.07 12:04 | URL | #- [edit]

Leave a reply






管理者にだけ表示を許可する

Trackbacks

trackbackURL:http://athlonhappy.blog110.fc2.com/tb.php/419-aaac5af6
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。