Attualmente si consiglia di fare qualcosa sul contenuto di / etc / ssh / moduli. Ho visto due modi:
- per rimuovere tutti i moduli di dimensioni inferiori a 2047 byte dal file.
- per ricrearli usando ssh-keygen.
Il primo è una soluzione molto rapida e dovrebbe migliorare immediatamente la sicurezza. D'altra parte, non so se c'è qualche problema in più per i restanti in agguato che scopriremo tra qualche mese. Quindi desidero almeno raccogliere il modo esatto per rigenerare / etc / ssh / moduli usando ssh-keygen.
La pagina man dice quanto segue:
By default, each candidate will be subjected to 100 primality tests.
This may be overridden using the -a option. The DH generator value will
be chosen automatically for the prime under consideration. If a specific
generator is desired, it may be requested using the -W option. Valid
generator values are 2, 3, and 5.
Screened DH groups may be installed in
.../etc/ssh/moduli. It is important that this file con-
tains moduli of a range of bit lengths and that both ends of a connection
share common moduli.
Mi chiedo cosa significhi " schermato " in questo contesto. Significa che hai corso
ssh-keygen -T moduli-length-f moduli-length.candidates
contro un file creato usando -G? O vuol dire che hai qualcuno (che è un gruppo di specialisti criptati con supercomputer a portata di mano) a guardarli con metodi più sofisticati?
È così estremamente vago, non sono in grado di dire cosa significano. Per peggiorare le cose, non ho trovato alcuna distro che abbia documentato come fanno i moduli impostati per il proprio pacchetto SSH. Immagino che occorrano giorni se includono 8k e quindi sono solo contenti di averlo fatto - ma non infondono sicurezza. Quindi mi piacerebbe davvero avere una mano su questo.
Se ti chiedessi: la differenza tra 2 e 5 potrebbe essere descritta qui: Qual è la differenza tra il generatore Diffie Hellman 2 e 5?
Ma in realtà, la pagina di manuale dice "il generatore di DH" che potrebbe essere 2 o 5. Impressionante.