<html><head></head><body>Great work Libertas! Glad to see my relay didn't come up with any results :)<br>
<br>
Colin<br><br><div class="gmail_quote">On November 18, 2014 10:09:37 AM EST, Libertas <libertas@mykolab.com> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre class="k9mail">-----BEGIN PGP SIGNED MESSAGE-----<br />Hash: SHA256<br /><br />Hi, everyone. Linked below is a list of relays that were live last night<br />along with the SSH authentication methods they support:<br /><br /><a href="https://gist.githubusercontent.com/plsql/27e80e6dab421f8cba6c/raw/8bb0c7aa9d22b8c959834e9db8c80b6511bdf093/gistfile1.txt">https://gist.githubusercontent.com/plsql/27e80e6dab421f8cba6c/raw/8bb0c7aa9d22b8c959834e9db8c80b6511bdf093/gistfile1.txt</a><br /><br />If no auth methods are listed, the SSH connection to the relay failed<br />(more on that below).<br /><br />I used this script to generate it:<br /><br /><a href="https://github.com/plsql/ssh-auth-methods">https://github.com/plsql/ssh-auth-methods</a><br /><br />The purpose of this is to alert relay operators that are still<br />allowing password authentication. 2,051 relays offered password auth,<br />and many more likely offer similarly insecure methods or were missed<br />for reasons discussed
below.<br /><br />Generally, it is far more secure to allow only public key auth. The<br />Ubuntu help pages have a good guide on setting up key-based auth:<br /><br /><a href="https://help.ubuntu.com/community/SSH/OpenSSH/Keys">https://help.ubuntu.com/community/SSH/OpenSSH/Keys</a><br /><br />Be sure to disable password authentication after you get key-based<br />auth working!<br /><br /><a href="https://help.ubuntu.com/community/SSH/OpenSSH/Configuring#disable-password-authentication">https://help.ubuntu.com/community/SSH/OpenSSH/Configuring#disable-password-authentication</a><br /><br />To test whether password auth is still supported, use my script (the<br />README is pretty thorough) or try SSHing from a machine that doesn't<br />have access to your private key. In the latter case, you should get<br />the response 'Permission denied (publickey).' immediately.<br /><br />If you're having issues, make sure that you've restarted sshd since<br />the last time you changed the
config.<br /><br />Be sure to back up the node's secret key or your SSH private key, but<br />only somewhere safe! For example, store it in a password manager<br />database on Tarsnap or a USB.<br /><br />This script doesn't attempt any kind of authentication or unauthorized<br />access, so it's about as benign as network scanning scripts come.<br />Regardless, let me know if you have any concerns.<br /><br />It made successful SSH connections with 2839 / 6551 relays. Reasons<br />for failure include:<br /><br />* SSH being served on a non-standard port - something other than port<br />22. This is a good idea, as many brute-force attackers will only<br />bother trying port 22. The script I wrote could have used an alternate<br />port number supplied from nmap, but this would run much slower and<br />would potentially get my VPS blocked before it could even get the SSH<br />information.<br /><br />* The server only allowing SSH connections from certain IP addresses.<br />This is also
commonly recommended, although it can be a little rigid<br />if you don't have a VPN with a static IP (what if your server goes<br />down while you're away from home?).<br /><br />* The server going down between when I downloaded the consensus and<br />when I ran the script.<br /><br />* My VPS's IP address getting added to a shared blacklist that the<br />server uses.<br /><br />* etc.<br /><br />If I gave any poor advice or got anything wrong, please let me know.<br /><br />Libertas<br />-----BEGIN PGP SIGNATURE-----<br />Version: GnuPG v1<br /><br />iQIcBAEBCAAGBQJUa2ExAAoJELxHvGCsI27Np8IP/2duANtd55hs5L9IskFD2REe<br />9x5TR+uwZ54GhYLiFc+qiX3JnfoxfurZW7vi++D4R3E9L7nGo5weEZd0b88yJ6kx<br />fUT9QG8gq2RFYdG+RQgYoEI9mLNObK/uc6J9qV3Y7dLOE/may6t6BDWpQTh7g5BJ<br />8fOnhrqjs0JdfTldc6xzrHT+m1dKBpylWus/WwGaJBReKOx6v7FoMEY53qowK0iA<br />Vb5QS4idYb5WWF+K3Uzqk56v6sUzds/LTTlVc/R6mxjdse4AiMXO3DZsEffhI95W<br />8xSuw45e/Cfv/j80njsm4O1gFnrqyv/KcGwmL7vNPmtH4+i6dijTbBRroVElm1o3<br
/>LQBgCdUmQLz7njeprKnw8xdKT9X3oht4p9VZDfqWogXGiqRRdEtQCVUVhJp+ZrPA<br />KrJBtV/IbYxyndhzC5cMAcTQUff0SOvDtzFnC4cxUbxSemtuO1NMwnIZtv3aGmG5<br />NEfXS3RjaUlZeZPZuymBDL1CnFqki6+eBDvka8ZOhL1/BgmDqcgT7nRWhlC5MtCG<br />wBAfuJWB8BZl2PHg66VUN9X05TeHbVmrlyuRXaZO6SZof0Wp5vPjzJ1mKD6AyTlt<br />Y/7liLapWgCVSYldohvbLB016iO/aHyGf3oTvZqUyG3NyD267aRQCDQ+sZZq7Cdz<br />+eQO5eJLW/gFNXEptaJz<br />=alRk<br />-----END PGP SIGNATURE-----<br /><hr /><br />tor-relays mailing list<br />tor-relays@lists.torproject.org<br /><a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br /></pre></blockquote></div></body></html>