3시간마다 SSH 및 VPN의 개인 키 변경을 자동화하는 방법은 무엇입니까?

Question

당신이 찾고 있는 기능은순방향 비밀성. SSHv2와 최신 TLS 및 IPsec 구성,이미 구현했어사용하여Diffie-Hellman 키 교환모든 연결에 대해 새로운 암호화 키를 생성합니다. 대부분의 경우 추가로 수행할 작업은 없습니다.

특히, SSH 클라이언트나 서버의 개인 키를 변경한다고 해서 모두 도움이 되는 것은 아닙니다.사용되지 않습니다암호화를 시작하려면. 이러한 키의 유일한 목적은 인증을 위한 디지털 서명을 만드는 것입니다.

그러나 확인하고 조정할 수 있는 몇 가지 매개변수는 다음과 같습니다.

TLSv1.2 기반 서비스에서는 허용된 암호화 제품군이 "ephemeral DH"에서처럼 "DHE"/"ECDHE"를 사용하는지 확인하세요. 클라이언트에 따라 기존 DHE를 비활성화하고 ECDHE 암호화 모음만 유지할 수도 있습니다. (그렇지 않다면 적어도 기본 파일을 사용하는 대신 모든 서비스에 대해 새로운 "DH 매개변수" 파일을 생성하십시오).

더 많은 최신 정보를 보려면 다음을 검색하세요.TLS 배포 모범 사례.
SSHv2에서는 활성화된 키 교환 알고리즘(KexAlgorithms)을 살펴보세요. 모든 "diffie-hellman-*" 모드를 비활성화하는 것이 좋습니다(또는 OpenSSH를 사용하는 경우 최소한 파일을 재생성하는 것 /etc/ssh/moduli).

또한 SSHv2 및 IPsec은 특정 시간 간격 및/또는 대량의 데이터가 전송된 후 자동으로 키 교환을 다시 시작하고 새 암호화 키로 전환하도록 지원합니다. OpenSSH(클라이언트 또는 서버)에서는 옵션을 설정하여 정기적인 키 재생성을 활성화할 수 있습니다 RekeyLimit. IPsec에서 키 재설정은 일반적으로 보안 연결 "수명" 설정을 통해 시행됩니다.

Answer 1

당신이 찾고 있는 기능은순방향 비밀성. SSHv2와 최신 TLS 및 IPsec 구성,이미 구현했어사용하여Diffie-Hellman 키 교환모든 연결에 대해 새로운 암호화 키를 생성합니다. 대부분의 경우 추가로 수행할 작업은 없습니다.

특히, SSH 클라이언트나 서버의 개인 키를 변경한다고 해서 모두 도움이 되는 것은 아닙니다.사용되지 않습니다암호화를 시작하려면. 이러한 키의 유일한 목적은 인증을 위한 디지털 서명을 만드는 것입니다.

그러나 확인하고 조정할 수 있는 몇 가지 매개변수는 다음과 같습니다.

TLSv1.2 기반 서비스에서는 허용된 암호화 제품군이 "ephemeral DH"에서처럼 "DHE"/"ECDHE"를 사용하는지 확인하세요. 클라이언트에 따라 기존 DHE를 비활성화하고 ECDHE 암호화 모음만 유지할 수도 있습니다. (그렇지 않다면 적어도 기본 파일을 사용하는 대신 모든 서비스에 대해 새로운 "DH 매개변수" 파일을 생성하십시오).

더 많은 최신 정보를 보려면 다음을 검색하세요.TLS 배포 모범 사례.
SSHv2에서는 활성화된 키 교환 알고리즘(KexAlgorithms)을 살펴보세요. 모든 "diffie-hellman-*" 모드를 비활성화하는 것이 좋습니다(또는 OpenSSH를 사용하는 경우 최소한 파일을 재생성하는 것 /etc/ssh/moduli).

또한 SSHv2 및 IPsec은 특정 시간 간격 및/또는 대량의 데이터가 전송된 후 자동으로 키 교환을 다시 시작하고 새 암호화 키로 전환하도록 지원합니다. OpenSSH(클라이언트 또는 서버)에서는 옵션을 설정하여 정기적인 키 재생성을 활성화할 수 있습니다 RekeyLimit. IPsec에서 키 재설정은 일반적으로 보안 연결 "수명" 설정을 통해 시행됩니다.

3시간마다 SSH 및 VPN의 개인 키 변경을 자동화하는 방법은 무엇입니까?

답변1

관련 정보