將自訂 SSH DH 群組部署到僅限客戶端的系統是否有任何安全優勢？

Question 1

如果您確實願意，也可以，但我不會費心為 OpenSSH 重新產生 2048 位元 DH 參數。還有很多更重要的事情要你去做保護 SSH 的安全，例如停用弱加密。

我什麼會要做的就是刪除現有的小於 2048 位元的。

awk '$5 >= 2000' /etc/ssh/moduli > /etc/ssh/moduli.strong && \
mv /etc/ssh/moduli.strong /etc/ssh/moduli

如果你沒有註意到，OpenSSH 附帶了大量預先產生的模數，最高可達 8192 位元。雖然我們現在確實擔心 1024 位元素數，但相信 2048 位元素數在可預見的未來是安全的。雖然這種情況最終會改變，但可能是下週，但更有可能是在我們成為退休金領取者之後很長一段時間...

手冊頁中還有這樣一個奇怪的地方ssh-keygen：

重要的是，該檔案包含一系列位元長度的模數，並且連接的兩端共享公共模數。

這似乎反對替換現有模組，儘管它並沒有真正提供這樣做的實際原因。

Answer

如果您確實願意，也可以，但我不會費心為 OpenSSH 重新產生 2048 位元 DH 參數。還有很多更重要的事情要你去做保護 SSH 的安全，例如停用弱加密。

我什麼會要做的就是刪除現有的小於 2048 位元的。

awk '$5 >= 2000' /etc/ssh/moduli > /etc/ssh/moduli.strong && \
mv /etc/ssh/moduli.strong /etc/ssh/moduli

如果你沒有註意到，OpenSSH 附帶了大量預先產生的模數，最高可達 8192 位元。雖然我們現在確實擔心 1024 位元素數，但相信 2048 位元素數在可預見的未來是安全的。雖然這種情況最終會改變，但可能是下週，但更有可能是在我們成為退休金領取者之後很長一段時間...

手冊頁中還有這樣一個奇怪的地方ssh-keygen：

重要的是，該檔案包含一系列位元長度的模數，並且連接的兩端共享公共模數。

這似乎反對替換現有模組，儘管它並沒有真正提供這樣做的實際原因。

Question 2

答案是：不會。 :)

/etc/ssh/moduli文件僅用於伺服器端。

您無需擔心 SSH 用戶端的該檔案：

您可以追蹤 SSH 用戶端的執行並檢查它是否沒有開啟該檔案。

$ strace -e openat ssh user@localhost

Answer

答案是：不會。 :)

/etc/ssh/moduli文件僅用於伺服器端。

您無需擔心 SSH 用戶端的該檔案：

您可以追蹤 SSH 用戶端的執行並檢查它是否沒有開啟該檔案。

$ strace -e openat ssh user@localhost

相關內容