La proprietà RekeyLimit in sshd_config applica il re-keying / key-re-exchange?

5

Ho impostato la proprietà RekeyLimit in sshd_config e ho provato a eseguire un SSH. Tuttavia, non ho potuto vedere il rekeying che si verifica nei registri dettagliati, tutto quello che vedo è il messaggio di registro qui sotto all'inizio della sessione (nei miei log del server sshd).

debug3: rekey after 2048 bytes, 0 seconds [preauth]

Solo quando abilito RekeyLimit sul mio client SSH ( ssh_config ) o uso ~ R, vedo i log relativi all'attività di rekeying.

È previsto? La proprietà RekeyLimit in sshd_config non dovrebbe forzare la rekeying?

Sto usando OpenSSH 6.7.

    
posta Avinash 18.11.2015 - 11:29
fonte

1 risposta

2

In realtà, questa è una domanda piuttosto interessante. Ho dovuto esaminarlo, come funziona davvero. L'avvio diretto di rekeying con ~R funziona bene come descritto ed è previsto. Se il client impone la rekey, funziona anche, ma il lato server è in qualche modo soppresso. Nel codice, questa variabile viene gestita senza particolare attenzione e, se ho ragione, l'offerta del client sovrascrive l'installazione del server, che potrebbe non essere intenzionale e può essere argomento interessante su elenco openssh-unix-dev , se non ci sarà una risposta migliore.

Non è specificato nel RFC4253 , come questo dovrebbe essere gestito, quindi sono i dettagli dell'implementazione.

Tuttavia, la rekeying non dovrebbe essere necessaria per fare più frequentemente del default, perché deriva dal numero di sequenza MAC che avvolge [ RFC4251] .

Modifica: il rekeying è stato rielaborato un po 'e in openssh-7.2 dovrebbe funzionare meglio.

    
risposta data 18.11.2015 - 13:51
fonte

Leggi altre domande sui tag