Ho letto un certo numero di rapporti misti sulle implicazioni sulla sicurezza e / o sul valore di consentire TCPKeepAlive yes in /etc/ssh/sshd_config (per OpenSSH-server). Qualsiasi cosa definitiva sulle migliori pratiche di sicurezza riguardanti TCPKeepAlive e / o ClientAliveInterval , ecc. Sarebbe accolta con favore.
Da quello che ho raccolto sembra non esserci alcun rischio reale e / o immediato di avere TCPKeepAlive yes ( fonte ) al di là della possibilità che qualcuno possa spoofare un pacchetto TCP per interrompere il timeout di una sessione SSH. Cioè
You will note in the next section that a spoofing issue exists with keep alive
( fonte - sotto il titolo "Utenti SSH ")
L'ho letto nel senso che il rischio che abbia effettivamente un serio impatto sulla sicurezza della sessione SSH è nullo.
Tuttavia, un utente GitHub note:
You're quite right. It seems that there's no actual exploitable vulnerability with TCPKeepAlive -- yet
Il che implica che è solo una questione di tempo prima che possa diventare sfruttabile?!
Un'altra fonte suggerisce che c'è un piccolo valore in TCPKeepAlive yes , fintanto che ClientAliveInterval è configurato opportunamente.
Un post sul blog (dal 2013) intitolato "Indurire il tuo SSH server "(sotto l'intestazione" Prevenire gli zombie ") suggerisce:
To avoid infinitely hanging sessions, this should be left on.
Anche se non menzionando ClientAliveInterval , suppongo che forse potrebbe non essere rilevante al 100% ora?
Si noti che nonostante il mio googling significativo, tutte le mie fonti, tranne il post del blog 2013, provengono dal thread GitHub a cui mi sono collegato. Oltre a quelle poche menzioni. Non trovo nulla di sostanziale in un modo o nell'altro. Altre fonti, in particolare autorevoli, saranno accolte calorosamente.