Jedną z sugerowanych strategii ograniczających ataki SSH związane z Logjam jest wygenerowanie niestandardowych grup SSH Diffie-Hellman przy użyciu czegoś podobnego (poniżej dla OpenSSH)
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
a następnie zastąpienie ogólnosystemowego pliku modułów plikiem wyjściowym moduli-2048
. ( ssh-keygen -G
służy do generowania kandydatów liczb pierwszych DH-GEX i ssh-keygen -T
do testowania wygenerowanych kandydatów pod kątem bezpieczeństwa.)
Jest to całkiem rozsądna rzecz do zrobienia na serwerach SSH, które w innym przypadku korzystałyby ze znanych grup, które nadawałyby się dobrze do wstępnego obliczenia, ale czy są jakieś korzyści z bezpieczeństwa związane z wdrażaniem niestandardowych grup SSH DH w systemach tylko dla klientów? (Oznacza to, że systemy łączą się z serwerami SSH, ale same nigdy nie działają jako serwer SSH.)
Interesują mnie przede wszystkim odpowiedzi dotyczące OpenSSH w systemie Linux, ale docenione zostaną również bardziej ogólne odpowiedzi.
Odpowiedź brzmi: nie. Nie ma żadnych korzyści. :)
/etc/ssh/moduli
plik jest używany tylko po stronie serwera.Nie musisz się martwić o ten plik po stronie klienta SSH:
Możesz śledzić wykonanie klienta SSH i sprawdzać, czy nie otwiera on tego pliku.
źródło