Linux と Cisco デバイスの SSH の秘密キー、および VPN を 3 時間ごとに変更したいと思います。
誰かそれを達成する方法を教えてもらえますか?
答え1
あなたが探している機能は前方秘匿性SSHv2、最新のTLSおよびIPsec構成、すでに実装している使用してディフィー・ヘルマン鍵交換接続ごとに新しい暗号化キーを生成します。ほとんどの場合、追加の操作は必要ありません。
特に、SSHクライアントまたはサーバーの秘密鍵を変更しても、すべてが解決するわけではありません。使用されていないそもそも暗号化には使用できません。これらのキーの唯一の目的は、認証用のデジタル署名を作成することです。
ただし、確認して調整できるパラメータはまだいくつかあります。
TLSv1.2 ベースのサービスでは、許可された暗号スイートが「DHE」/「ECDHE」 (「ephemeral DH」) を使用していることを確認してください。クライアントによっては、従来の DHE を無効にして、ECDHE 暗号スイートのみを保持できる場合があります。(そうでない場合は、デフォルトのファイルを使用する代わりに、少なくともすべてのサービスに対して新しい「DH パラメータ」ファイルを生成します)。
最新情報については、TLS 導入のベストプラクティス。
SSHv2 では、有効なキー交換アルゴリズム (KexAlgorithms) を調べます。すべての「diffie-hellman-*」モードを無効にすることを検討してください (または、OpenSSH を使用している場合は、少なくともファイルを再生成してください
/etc/ssh/moduli)。
さらに、SSHv2 と IPsec は、一定の時間間隔が経過した後や大量のデータが転送された後に、キー交換を自動的に再開し、新しい暗号化キーに切り替える機能をサポートしています。OpenSSH (クライアントまたはサーバー) では、オプションを設定することで定期的なキー再生成を有効にすることができますRekeyLimit。IPsec では、キー再生成は通常、セキュリティ アソシエーションの「有効期間」設定を通じて強制されます。