Есть ли какие-либо преимущества с точки зрения безопасности при развертывании пользовательских групп SSH DH в клиентских системах?

Question 1

Вы можете, если вы действительно хотите, но я бы не стал заморачиваться с повторной генерацией 2048-битных параметров DH для OpenSSH. Есть гораздо более важные вещи, которые вам нужносделать для защиты SSH, например отключить слабое шифрование.

Что ябынужно удалить существующие, которые меньше 2048 бит.

awk '$5 >= 2000' /etc/ssh/moduli > /etc/ssh/moduli.strong && \
mv /etc/ssh/moduli.strong /etc/ssh/moduli

Если вы не заметили, OpenSSH поставляется с большим количеством предварительно сгенерированных модулей, вплоть до 8192 бит. Хотя мы, конечно, обеспокоены 1024-битными простыми числами сегодня, 2048-битные считаются безопасными в обозримом будущем. И хотя это в конечном итоге изменится, это может произойти на следующей неделе, но, скорее всего, это произойдет много времени спустя после того, как мы станем пенсионерами...

На странице руководства есть еще один любопытный фрагмент ssh-keygen:

Важно, чтобы этот файл содержал модули с различной длиной в битах и чтобы оба конца соединения имели общие модули.

Что, по-видимому, является аргументом против замены существующих модулей, хотя на самом деле не указывает фактической причины для этого.

Answer

Вы можете, если вы действительно хотите, но я бы не стал заморачиваться с повторной генерацией 2048-битных параметров DH для OpenSSH. Есть гораздо более важные вещи, которые вам нужносделать для защиты SSH, например отключить слабое шифрование.

Что ябынужно удалить существующие, которые меньше 2048 бит.

awk '$5 >= 2000' /etc/ssh/moduli > /etc/ssh/moduli.strong && \
mv /etc/ssh/moduli.strong /etc/ssh/moduli

Если вы не заметили, OpenSSH поставляется с большим количеством предварительно сгенерированных модулей, вплоть до 8192 бит. Хотя мы, конечно, обеспокоены 1024-битными простыми числами сегодня, 2048-битные считаются безопасными в обозримом будущем. И хотя это в конечном итоге изменится, это может произойти на следующей неделе, но, скорее всего, это произойдет много времени спустя после того, как мы станем пенсионерами...

На странице руководства есть еще один любопытный фрагмент ssh-keygen:

Важно, чтобы этот файл содержал модули с различной длиной в битах и чтобы оба конца соединения имели общие модули.

Что, по-видимому, является аргументом против замены существующих модулей, хотя на самом деле не указывает фактической причины для этого.

Question 2

Ответ: Нет. Никаких преимуществ. :)

/etc/ssh/moduliфайл используется только на стороне сервера.

Вам не нужно беспокоиться об этом файле для клиентской стороны SSH:

Вы можете отследить выполнение SSH-клиента и убедиться, что он не открывает этот файл.

$ strace -e openat ssh user@localhost

Answer

Ответ: Нет. Никаких преимуществ. :)

/etc/ssh/moduliфайл используется только на стороне сервера.

Вам не нужно беспокоиться об этом файле для клиентской стороны SSH:

Вы можете отследить выполнение SSH-клиента и убедиться, что он не открывает этот файл.

$ strace -e openat ssh user@localhost

Есть ли какие-либо преимущества с точки зрения безопасности при развертывании пользовательских групп SSH DH в клиентских системах?

решение1

решение2

Связанный контент