Wie kann ich den privaten Schlüssel von SSH und VPN alle 3 Stunden automatisch ändern?

Question

Die Funktion, nach der Sie suchen, istGeheimhaltung vorwärts. SSHv2 sowie moderne TLS- und IPsec-Konfigurationen,bereits implementierendurch die NutzungDiffie-Hellman-Schlüsselaustauschum für jede Verbindung einen neuen Verschlüsselungsschlüssel zu generieren. In den meisten Fällen müssen Sie nichts weiter tun.

Insbesondere das Ändern des privaten Schlüssels des SSH-Clients oder -Servers hilft nicht allen – siewerden nicht genutztfür die Verschlüsselung. Der einzige Zweck dieser Schlüssel besteht darin, eine digitale Signatur für Authentifizierungszwecke zu erstellen.

Es gibt jedoch noch einige Parameter, die Sie überprüfen und anpassen können:

Stellen Sie bei TLSv1.2-basierten Diensten sicher, dass die zulässigen Cipher Suites „DHE“/„ECDHE“ verwenden – wie in „ephemeral DH“. Abhängig von Ihren Clients ist es möglicherweise möglich, herkömmliches DHE zu deaktivieren und nur ECDHE-Cipher Suites beizubehalten. (Wenn nicht, generieren Sie zumindest eine neue „DH-Parameter“-Datei für jeden Dienst, anstatt die Standarddatei zu verwenden.)

Für aktuellere Informationen suchen Sie nachBewährte Methoden für die TLS-Bereitstellung.
Sehen Sie sich in SSHv2 die aktivierten Schlüsselaustauschalgorithmen (KexAlgorithms) an. Möglicherweise möchten Sie alle „diffie-hellman-*“-Modi deaktivieren (oder, wenn Sie OpenSSH verwenden, zumindest die /etc/ssh/moduliDatei neu generieren).

Darüber hinaus unterstützen SSHv2 und IPsec den automatischen Neustart des Schlüsselaustauschs und wechseln nach einer bestimmten Zeitspanne und/oder nach der Übertragung einer großen Datenmenge zu einem neuen Verschlüsselungsschlüssel. In OpenSSH (Client oder Server) können Sie die regelmäßige Neuverschlüsselung aktivieren, indem Sie die RekeyLimitOption festlegen. In IPsec wird die Neuverschlüsselung normalerweise durch die „Lebensdauer“-Einstellungen der Sicherheitszuordnung erzwungen.

Answer 1

Die Funktion, nach der Sie suchen, istGeheimhaltung vorwärts. SSHv2 sowie moderne TLS- und IPsec-Konfigurationen,bereits implementierendurch die NutzungDiffie-Hellman-Schlüsselaustauschum für jede Verbindung einen neuen Verschlüsselungsschlüssel zu generieren. In den meisten Fällen müssen Sie nichts weiter tun.

Insbesondere das Ändern des privaten Schlüssels des SSH-Clients oder -Servers hilft nicht allen – siewerden nicht genutztfür die Verschlüsselung. Der einzige Zweck dieser Schlüssel besteht darin, eine digitale Signatur für Authentifizierungszwecke zu erstellen.

Es gibt jedoch noch einige Parameter, die Sie überprüfen und anpassen können:

Stellen Sie bei TLSv1.2-basierten Diensten sicher, dass die zulässigen Cipher Suites „DHE“/„ECDHE“ verwenden – wie in „ephemeral DH“. Abhängig von Ihren Clients ist es möglicherweise möglich, herkömmliches DHE zu deaktivieren und nur ECDHE-Cipher Suites beizubehalten. (Wenn nicht, generieren Sie zumindest eine neue „DH-Parameter“-Datei für jeden Dienst, anstatt die Standarddatei zu verwenden.)

Für aktuellere Informationen suchen Sie nachBewährte Methoden für die TLS-Bereitstellung.
Sehen Sie sich in SSHv2 die aktivierten Schlüsselaustauschalgorithmen (KexAlgorithms) an. Möglicherweise möchten Sie alle „diffie-hellman-*“-Modi deaktivieren (oder, wenn Sie OpenSSH verwenden, zumindest die /etc/ssh/moduliDatei neu generieren).

Darüber hinaus unterstützen SSHv2 und IPsec den automatischen Neustart des Schlüsselaustauschs und wechseln nach einer bestimmten Zeitspanne und/oder nach der Übertragung einer großen Datenmenge zu einem neuen Verschlüsselungsschlüssel. In OpenSSH (Client oder Server) können Sie die regelmäßige Neuverschlüsselung aktivieren, indem Sie die RekeyLimitOption festlegen. In IPsec wird die Neuverschlüsselung normalerweise durch die „Lebensdauer“-Einstellungen der Sicherheitszuordnung erzwungen.

Wie kann ich den privaten Schlüssel von SSH und VPN alle 3 Stunden automatisch ändern?

Antwort1

verwandte Informationen