Gostaria de alterar a chave privada do SSH em dispositivos Linux e Cisco, e também VPN a cada 3 horas.
Alguém pode me sugerir como conseguir isso?
Responder1
O recurso que você procura éencaminhar sigilo. SSHv2, bem como configurações modernas de TLS e IPsec,já implementeiusandoTroca de chaves Diffie-Hellmanpara gerar uma nova chave de criptografia para cada conexão. Na maioria dos casos, você não precisa fazer nada extra.
Em particular, alterar a chave privada do cliente ou servidor SSH não ajudará a todos – elesnão são usadospara criptografia, para começar. O único propósito dessas chaves é criar uma assinatura digital para fins de autenticação.
No entanto, ainda existem alguns parâmetros que você pode verificar e ajustar:
Em serviços baseados em TLSv1.2, certifique-se de que os conjuntos de criptografia permitidos usem "DHE"/"ECDHE" – como em "DH efêmero". Dependendo dos seus clientes, pode ser possível desabilitar o DHE tradicional e manter apenas os conjuntos de criptografia ECDHE. (Caso contrário, pelo menos gere um novo arquivo de "parâmetros DH" para cada serviço em vez de usar o arquivo padrão).
Para obter informações mais atualizadas, pesquise porPráticas recomendadas de implantação de TLS.
No SSHv2, examine os algoritmos de troca de chaves habilitados (KexAlgorithms). Você pode considerar desabilitar todos os modos "diffie-hellman-*" (ou se estiver usando OpenSSH, pelo menos regenerar o
/etc/ssh/moduliarquivo).
Além disso, SSHv2 e IPsec suportam o reinício automático da troca de chaves e a mudança para uma nova chave de criptografia após um determinado intervalo de tempo e/ou após uma grande quantidade de dados ter sido transferida. No OpenSSH (cliente ou servidor) você pode habilitar a rechaveamento periódico definindo a RekeyLimitopção. No IPsec, a rechaveamento geralmente é aplicada por meio das configurações "vitalícias" da associação de segurança.