Как автоматизировать смену закрытого ключа SSH и VPN каждые 3 часа?

Question

Функция, которую вы ищете, этопрямая секретность. SSHv2, а также современные конфигурации TLS и IPsec,уже реализуем этоиспользуяОбмен ключами Диффи-Хеллманадля генерации нового ключа шифрования для каждого соединения. В большинстве случаев вам не нужно делать ничего дополнительного.

В частности, изменение закрытого ключа SSH-клиента или сервера не поможет всем – онине используютсядля шифрования в первую очередь. Единственная цель этих ключей — сделать цифровую подпись для целей аутентификации.

Однако есть еще некоторые параметры, которые вы можете проверить и настроить:

В службах на основе TLSv1.2 убедитесь, что разрешенные наборы шифров используют "DHE"/"ECDHE" – как в "эфемерном DH". В зависимости от ваших клиентов, может быть возможно отключить традиционный DHE и оставить только наборы шифров ECDHE. (Если нет, то по крайней мере сгенерируйте новый файл "параметров DH" для каждой службы вместо использования файла по умолчанию).

Для получения более актуальной информации выполните поискЛучшие практики развертывания TLS.
В SSHv2 просмотрите включенные алгоритмы обмена ключами (KexAlgorithms). Возможно, вам стоит отключить все режимы "diffie-hellman-*" (или, если вы используете OpenSSH, по крайней мере пересоздать файл /etc/ssh/moduli).

Кроме того, SSHv2 и IPsec поддерживают автоматический перезапуск обмена ключами и переключение на новый ключ шифрования после определенного интервала времени и/или после передачи большого объема данных. В OpenSSH (клиент или сервер) можно включить периодическую смену ключей, установив соответствующую опцию RekeyLimit. В IPsec смена ключей обычно принудительно осуществляется через настройки "времени жизни" ассоциации безопасности.

Answer 1

Функция, которую вы ищете, этопрямая секретность. SSHv2, а также современные конфигурации TLS и IPsec,уже реализуем этоиспользуяОбмен ключами Диффи-Хеллманадля генерации нового ключа шифрования для каждого соединения. В большинстве случаев вам не нужно делать ничего дополнительного.

В частности, изменение закрытого ключа SSH-клиента или сервера не поможет всем – онине используютсядля шифрования в первую очередь. Единственная цель этих ключей — сделать цифровую подпись для целей аутентификации.

Однако есть еще некоторые параметры, которые вы можете проверить и настроить:

В службах на основе TLSv1.2 убедитесь, что разрешенные наборы шифров используют "DHE"/"ECDHE" – как в "эфемерном DH". В зависимости от ваших клиентов, может быть возможно отключить традиционный DHE и оставить только наборы шифров ECDHE. (Если нет, то по крайней мере сгенерируйте новый файл "параметров DH" для каждой службы вместо использования файла по умолчанию).

Для получения более актуальной информации выполните поискЛучшие практики развертывания TLS.
В SSHv2 просмотрите включенные алгоритмы обмена ключами (KexAlgorithms). Возможно, вам стоит отключить все режимы "diffie-hellman-*" (или, если вы используете OpenSSH, по крайней мере пересоздать файл /etc/ssh/moduli).

Кроме того, SSHv2 и IPsec поддерживают автоматический перезапуск обмена ключами и переключение на новый ключ шифрования после определенного интервала времени и/или после передачи большого объема данных. В OpenSSH (клиент или сервер) можно включить периодическую смену ключей, установив соответствующую опцию RekeyLimit. В IPsec смена ключей обычно принудительно осуществляется через настройки "времени жизни" ассоциации безопасности.

Как автоматизировать смену закрытого ключа SSH и VPN каждые 3 часа?

решение1

Связанный контент