Uusi vastaava palvelin tarvitaan laitokselle kuitenkin jatkossakin ja nyt olisi loistava tilaisuus esittää ehdotuksia ja toivomuksia uuden palvelimen tarjoamista palveluista. Uudella palvelimella olisi tarkoitus edelleen teettää harjoitustöitä ja edelleen tukea opiskelijoiden (ja muiden käyttäjien) omien www-palveluohjelmistojen toteuttamista ja ylläpitoa.

Jatkossa olisi tarkoitus tukea ainakin cgi-skriptien ja php-skriptien käyttöä, tietokantoja ja J2EE-sovellusalustaa. Muita asioita joita voisi pohtia, erityisesti kurssien pitäjien kannalta:

• Pitäisikö ylläpidon puolesta tarjota keskitetyt tietokannat nykyisten käyttäjäkohtaisten tietokantojen sijaan? Pitäisikö tietokannan olla Postgres, MySQL vai jotain ihan muuta?
• Käytämmekö edelleen J2EE-ympäristönä tavallista tomcattia? Onko nykyinen tapa toteuttaa tomcat-asennus käyttäjän omassa kotihakemistossa hyvä ja käyttökelpoinen? Jos ei, niin mitä tilalle?
• Mitä muita ympäristöjä tuemme (resurssien puitteissa)? Tarvitaanko erillistä tukea ruby on rails:ille?

Using and saving unencrypted SSH private keys on Department of Computer Science systems will be prohibited from now on due information security risks. Existing unencrypted SSH private keys in home directories will be removed by systems administration. Please contact Department if Computer Science IT Support at itsupport@cs.helsinki.fi if you have questions orcomments about this rule.

If you don’t know whether you have unencrypted SSH keys or not, you probably don’t need to react on this bulletin.

This ban covers unencrypted SSH private keys, which users have created manually and saved without a protecting pass phrase. The ban does not cover saving the server public keys in the known_host file, these keys are not used for user authentication.

Departmen of Computer Science is banning the use of unencrypted SSH private keys as malicious intruders are systematically looking for such keys to gain access to other systems. Therefore, such SSH private keys, which allows access to other systems should not be stored even encrypted on such Department of Computer Science hosts which are in public and common use.

SSH keys are used instead of user passwords/pass phrases. Using SSH keys instead of passwords is a good and recommended way to improve account security and to log on to systems faster. The user must anyhow take care of protecting her SSH keys, because unprotected SSH keys offers system access in the same way as a password in clear text. It is possible for a user to bypass protecting the SSH private key, but one must not do that because of security reasons. The university information security rules also require the user to protect her account.

If one has a need to continuously connect to different systems, can SSH keys be read into memory by using the ssh-agent application. Information about using the ssh applications can be found with the command ‘manssh’.

The most dangerous use case is to save unencrypted SSH private keys, enabling access to many systems, on such Department of Computer Science servers which are directly connected to the Internet. Do not do that! Even encrypted SSH private keys enabling access to external systems, should not be stored in the home directories in the university computing environment. Users must also protect the SSH private keys on their workstations with a pass phrase.

This ban is similar as is in force at CSC, IT Center for Science.

Salaamattomat SSH-yksityisavaimet muodostavat tietoturvariskin ja tämän vuoksi niiden käyttö on jatkossa kielletty tietojenkäsittelytieteen laitoksen järjestelmissä. Ylläpito tulee poistamaan kotihakemistoista löytyvät salaamattomat SSH-yksityisavaimet. Mikäli avainten poistamisesta on kysyttävää, tulee asiasta ottaa yhteyttä laitoksen tietotekniikkaryhmään osoitteessa itsupport@cs.helsinki.fi.

Jos et tiedä onko käytössäsi salaamattomia SSH-avaimia, sinun ei todennäköisesti tarvitse välittää tästä viestistä.

Käyttökielto koskee SSH-yksityisavaimia, jotka käyttäjät ovat luoneet ja tallentaneet salaamattomana, ilman salalausetta. Käyttökielto ei koske palvelimen tunnistamiseen käytettävän julkisen SSH-avaimen tallentamista. Tätä avainta ei käytetä lainkaan käyttäjän todentamiseen.

Tietomurtojen tekijät etsivät aktiivisesti käyttäjien suojaamattomiaSSH-avaimia ja pyrkivät näiden avulla murtautumaan järjestelmiin, joihin käyttäjällä on pääsyoikeus. Tämän vuoksi tietojenkäsittelytieteen laitoksen yhteiskäyttöisten järjestelmien kotihakemistoihin ei tulisi lainkaan tallentaa edes sellaisia salattuja SSH-yksityisavaimia, joiden avulla voi kirjautua muihin järjestelmiin.

SSH-ohjelmissa käyttäjän avainparia voi hyödyntää käyttäjän todentamiseen salasanan tai -lauseen sijasta. Avainten käyttö on hyvä ja suositeltava tapa, koska se tarjoaa salasanoja huomattavasti varmemman ja nopeamman tavan kirjautua järjestelmään turvallisesti. Käyttäjän tulee kuitenkin itse huolehtia siitä, että hänen yksityinen SSH-avaimensa on suojattu riittävän hyvin, koska yhdessä hänen julkisen SSH-avaimensa kanssa se tarjoaa pääsyn kohdejärjestelmiin samalla tavalla kuin salasana. Käyttäjän on mahdollista ohittaa yksityisen avaimen suojaus, mutta tätä ei saa turvallisuussyistä tehdä, vaikka käyttö ilman avaimen salalausetta olisi kätevän tuntuista. Käyttöehdot velvoittavat käyttäjää suojelemaan tunnustaan.

Mikäli on tarve jatkuvasti ottaa SSH-yhteyksiä eri koneille, voidaan SSH-avaimet lukea koneen muistiin istunnon ajaksi ssh-agent -ohjelman avulla. Lisätietoa ohjelman käytöstä löytyy mm. komennolla ‘man ssh’.

Kaikkein vaarallisin käyttötapaus on se, että käyttäjä tallentaa SSH-yksityisavaimensa salaamattomana yhteiskäyttöiselle tietokoneelle, johon on avoin pääsy internetistä. Sellaisia SSH-yksityisavaimia, jotka mahdollistavat pääsyn muihin järjestelmiin ei tietoturvariskien vuoksi tule lainkaan tallentaa yliopiston tietotekniikkaympäristöön. Käyttäjien tulee suojata myös omilla työasemillaan olevat SSH-yksityisavaimet salalauseella.

Vastaava kielto on voimassa CSC:llä, Tieteen tietotekniikan keskuksessa.

Tietojenkäsittelytieteen laitoksen tiedote lähetettiin yli kolmelletuhannelle käyttäjälle, näistä noin 20 oli ohjannut postinsa toimimattomaan osoitteeseen ja noin viisi osoitteeseen, josta posti oli ohjattu edelleen takaisin tietojenkäsittelytieteen postijärjestelmään muodostaen näin postisilmukan. Näin ollen yli 99% tiedotteista saatiin menemään johonkin toimivaan osoitteeseen. Arvoitus sen sijaan on, kuinka paljon tiedotteita varsinaisesti on luettu.

Varsinaisena salasanojen vaihtopäivänä suurimpia ongelmia aiheutti tietotekniikkaosaston salasananvaihtopalvelun ruuhkautuminen ja salasanojen voimaantulon hitaus. Tietojenkäsittelytieteen laitoksen puolella tällaista ongelmaa ei ollut, mutta hieman tarpeetonta työtä aiheutti se, että tietojenkäsittelytieteen laitoksen salasanojen vanhentaminen ei ehtinyt kaikkien käyttäjien osalta valmiiksi ennen 13.00, joten jotkin käyttäjät joutuivat vaihtamaan salasanansa kahdesti.

Salasanojen vaihto-operaatio ylitti uutiskynnyksen useissa medioissa. Raportointi oli joiltakin osin selvästi virheellistä, mutta melko oikeatakin tietoa esiintyi.

Täydennys 15.8.2009: Myös db, sysdb, chuck ja vera ovat tavoittamattomissa.

Päivitys 17.8.2008:  Nyt ovat melkinkari ja db jälleen käytettävissä.

Helmikuun aikana pitäisi tulla vielä muutama uusi Xeroxin monitoimilaite ja tulostin lisää korvaamaan vanhoja, täysin palvelleita HP:n tulostimia.

Laitoksen tulostus -sivu jatkossa pyritään pitämään ajan tasalla tulostinmuutoksista.

Uudet tulostimet nimetään vakiomuotoisesti: Esimerkiksi tulostin cs-a209 sijaitsee tilassa A209, eli tulostinjonon nimestä näkee heti kerroksen (K-3) ja siiven (A-D). Tämä toivottavasti helpottaa lähimmän tulostimen tunnistamista ja tulosteiden löytämistä.