Ci sono vantaggi in termini di sicurezza per la distribuzione di gruppi personalizzati DHH SS a sisthemes client-only?

Una strategia suggerita di mitigazione contro gli attacchi connessi a Logjam su SSH è quella di generare gruppi personalizzati di SSH Diffie-Hellman utilizzando qualcosa di simile (il seguente è per OpenSSH)

ssh-keygen -G moduli-2048.candidates -b 2048 ssh-keygen -T moduli-2048 -f moduli-2048.candidates 

seguito dalla sostituzione del file di module a livello di sistema con il file di output moduli-2048 . ( ssh-keygen -G viene utilizzato per generare i candidati DH-GEX candidati e ssh-keygen -T per testare i candidati generati per la sicurezza.)

  • Non posso fare SSH o Telnet a Windows Server 2012 su VPS
  • passare una password sudo su
  • ssh: id_rsa non funziona, ma se la rinomina, funziona
  • La richiesta di assegnazione PTY non è rioutput sul canale 0
  • Windows-to-linux: Putty con SSH e coppia di chiavi private / pubbliche
  • SSH si blocca quando è inattivo per un certo tempo
  • Questo è abbastanza chiaramente una cosa ragionevole da fare sui server SSH che altrimenti avrebbe utilizzato gruppi ben noti che si prestano bene alla precomputazione, ma esistono vantaggi di sicurezza per la distribuzione di gruppi personalizzati SSH DH su sisthemes solo client? (Ovvero sisthemes che si connettono ai server SSH, ma non fungono da server SSH.)

    Mi interessa principalmente le risposte relative a OpenSSH su Linux, ma anche risposte più generics sarebbero apprezzate.

  • Comando non valido 'SSLOpenSSLConfCmd', forse errato o definito da un module non incluso nella configuration del server
  • Come risolvere la vulnerabilità di Logjam con MySQL
  • Come fare JBoss 5.1.0 GA Conforms agli standard Diffie-Hellman?
  • Come risolvere la vulnerabilità di Logjam nella configuration del server OpenVPN?
  • One Solution collect form web for “Ci sono vantaggi in termini di sicurezza per la distribuzione di gruppi personalizzati DHH SS a sisthemes client-only?”

    Puoi, se vuoi veramente, ma non mi preoccuperei di rigenerare i parametri DH di 2048 bit per OpenSSH. Ci sono cose molto più importnti da fare per garantire SSH, come distriggersre il criptato debole .

    Quello che vorrei fare è eliminare quelle esistenti che sono less di 2048 bit.

     awk '$5 >= 2000' /etc/ssh/moduli > /etc/ssh/moduli.strong && \ mv /etc/ssh/moduli.strong /etc/ssh/moduli 

    Nel caso in cui non avessi notato, OpenSSH è dotato di un gran numero di moduli pre-generati, fino a 8192 bit. Mentre siamo certamente preoccupati per i primi 1024 bit, i 2048 bit sono considerati sicuri per il prossimo futuro. E mentre ciò cambierà, potrebbe essere la prossima settimana, ma è più probabile che ci vorrà molto tempo dopo che siamo diventati pensionati …

    C'è anche questo bit curioso nella pagina man ssh-keygen :

    È importnte che questo file contenga dei moduli di una gamma di lunghezze di bit e che entrambe le estremità di una connessione condividano i moduli comuni.

    Quella sembra discutere contro la sostituzione dei moduli esistenti, anche se non fornisce veramente la ragione reale per farlo.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.