Come posso disabilitare l'autenticazione DSA e ECDSA sul mio server con OpenSSH 5.9? Spulciando il materiale della documentazione e facendo una ricerca sul web non si sono ottenuti risultati - solo una vecchia segnalazione di bug per il pacchetto Debian qui (e quelli collegati in fondo a quell'errore) ma nessuna conclusione.
Supponendo che non sia possibile disabilitare questi due metodi dall'interno di /etc/ssh/sshd_config
, è sufficiente farlo (sintassi di Bash): for i in /etc/ssh/ssh_host_{ecdsa,dsa}_key*; do echo -n ""|sudo tee "$i"; sudo chattr +i "$i"; done
(di seguito con interruzioni di riga per la leggibilità):
for i in /etc/ssh/ssh_host_{ecdsa,dsa}_key*;
do
echo -n ""|sudo tee "$i"
sudo chattr +i "$i"
done
vale a dire. per invalidare le chiavi dell'host e renderle immutabili, rendendo quindi impossibili i tentativi da sshd
di rigenerare le chiavi host DSA e ECDSA.
Il motivo per cui voglio disabilitare DSA è perché esistono fonti che dichiarano punti deboli nell'algoritmo che sono stati attivamente abusati, come Wikipedia e questo sito web . Ho scavato un po 'di più e sembra credibile. Il vantaggio più pragmatico e meno teorico è la velocità di verifica di RSA su DSA.
TL; DR: è possibile configurare sshd
da OpenSSH in sshd_config
per disabilitare ECDSA e DSA? In caso contrario, si può impedire l'autenticazione riuscita con tali metodi impostando i file della chiave host immutabili?