Mittlerweile habe ich endlich alle Debian-Systeme patchen können, das Beheben der openssh-Sicherheitslücke war mit
# aptitude update && aptitude dist-upgrade
und dem Erzeugen ein paar neuer Schlüssel und Zertifikate wirklich kein Hexenwerk.
Aber beinahe hätte ich mir trotzdem ein Eigentor geschossen. Denn neben den aktuellen openssh-Paketen rutschte auf einem Webserver auch ein Kernel-Update mit auf die Platte, das einen Neustart erforderte. Ich war schon fast beim “init 6″, als mir einfiel, dass ich doch besser nochmal versuchen sollte, eine ssh-Verbindung zum Server aufzubauen.
Und flups, da hieß es direkt:
Permission denied (publickey).
und im auth.log des Servers tauchte die Meldung:
May 17 10:37:43 localhost sshd[21441]: Public key b1:5f:68:94:45:0e:fb:4a:9e:1e:19:b3:cb:6f:2a:b3 blacklisted (see ssh-vulnkey(1))
Mir war zwar bekannt, dass das Upgrade das Paket openssh-blacklist mit auf das System gebracht hatte, dass aber eine Verbindung mit dem eigenen, noch verwundbaren Schlüssel direkt unterbunden wurde, hat mich dann doch überrascht.
ssh-keygen hat’s gerichtet, der Server bootet gerade neu.
Und die Moral von der Geschicht’: vergiss den eig’nen Client nicht 
