Eine empfohlene Strategie zur Abschwächung von Logjam- bezogenen Angriffen auf SSH besteht darin, benutzerdefinierte SSH-Diffie-Hellman-Gruppen zu generieren.
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
Anschließend wird die systemweite Moduli-Datei durch die Ausgabedatei ersetzt moduli-2048
. ( ssh-keygen -G
Wird verwendet, um Kandidaten-DH-GEX-Primzahlen zu generieren und ssh-keygen -T
die generierten Kandidaten auf Sicherheit zu testen.)
Auf SSH-Servern, auf denen sonst bekannte Gruppen verwendet würden, die sich gut für die Vorberechnung eignen, ist dies ziemlich offensichtlich eine vernünftige Vorgehensweise. Gibt es jedoch Sicherheitsvorteile bei der Bereitstellung benutzerdefinierter SSH-DH-Gruppen auf Nur-Client-Systemen? (Das heißt, Systeme, die eine Verbindung zu SSH-Servern herstellen, jedoch niemals selbst als SSH-Server fungieren.)
Ich interessiere mich hauptsächlich für Antworten zu OpenSSH unter Linux, aber auch allgemeinere Antworten wären willkommen.
Die Antwort lautet: Nein. Es gibt keine Vorteile. :)
/etc/ssh/moduli
Datei wird nur für die Server-Seite verwendet.Für den SSH-Client müssen Sie sich keine Sorgen um diese Datei machen:
Sie können die Ausführung des SSH-Clients verfolgen und sicherstellen, dass diese Datei nicht geöffnet wird.
quelle