Una estrategia mitigante sugerida contra los ataques relacionados con Logjam en SSH es generar grupos SSH Diffie-Hellman personalizados usando algo como (el siguiente es para OpenSSH)
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
seguido de reemplazar el archivo de módulo de todo el sistema con el archivo de salida moduli-2048
. ( ssh-keygen -G
se utiliza para generar candidatos DH-GEX primos y ssh-keygen -T
para probar los candidatos generados por seguridad).
Esto es claramente algo razonable de hacer en servidores SSH que de otro modo estarían usando grupos conocidos que se prestan bien a la precomputación, pero ¿hay algún beneficio de seguridad al implementar grupos SSH DH personalizados en sistemas solo para clientes? (Es decir, sistemas que se conectan a servidores SSH, pero nunca actúan como un servidor SSH).
Estoy principalmente interesado en respuestas relacionadas con OpenSSH en Linux, pero también agradecería respuestas más genéricas.
La respuesta es: No. No hay beneficios. :)
/etc/ssh/moduli
El archivo solo se utiliza para el lado del servidor.No necesita preocuparse por ese archivo para el lado del cliente SSH:
Puede rastrear la ejecución del cliente SSH y verificar que no abra ese archivo.
fuente