¿El cambio de / etc / ssh / moduli afecta las claves generadas anteriormente?

5

Mi empresa realiza muchas transferencias automáticas de archivos a través de SSH / sftp con bancos, etc. Una actualización reciente de SSH en un servidor eliminó la compatibilidad con el protocolo de intercambio de claves diffie-helman-group1-sha1 anterior / débil en respuesta al reciente Logjam attack.

La mayoría de las organizaciones con las que trabajamos son compatibles con los protocolos diffie-hellman-group-exchange-sha1 y diffie-hellman-group-exchange-sha256 . Sin embargo, nuestro archivo /etc/ssh/moduli contiene algunos números más débiles de lo que desean algunos servidores, por lo que recibimos fallas periódicas de conexión cuando nuestro servidor elige un número más débil del archivo actual.

Así que ahora estoy buscando generar un nuevo archivo /etc/ssh/moduli y eliminar los números más débiles para eliminar el posible error. Lo que quiero saber es si podemos reemplazar el archivo existente /etc/ssh/moduli sin afectar nuestras claves ya generadas que hemos intercambiado con otros. He leído algunas otras publicaciones como Consecuencias de manipulado / etc / ssh / moduli , pero no son muy claros en este punto.

Por lo que he leído, pienso estoy bien para hacer esto, ya que /etc/ssh/moduli se usa principalmente al negociar una conexión SSH individual, pero me gustaría algunas otras opiniones primero.

    
pregunta sbrown 13.10.2015 - 23:45
fuente

2 respuestas

2

Estarás bien. /etc/ssh/moduli solo lo utiliza sshd :

  

El archivo / etc / ssh / moduli contiene los módulos principales Diffie-Hellman de todo el sistema para sshd (8).

sshd no tiene nada que ver con las claves de cliente que está utilizando para conectarse a otras máquinas.

    
respondido por el Neil Smithline 14.10.2015 - 00:07
fuente
2
  

Lo que quiero saber es si podemos reemplazar el archivo existente /etc/ssh/moduli sin afectar nuestras claves ya generadas que hemos intercambiado con otros.

Los números de módulo no tienen ninguna conexión con claves de host del servidor ni con claves de autenticación de clientes . Las claves del host se usan para la verificación del host, las claves de autenticación se usan para la autenticación del cliente, pero el intercambio de claves diffie hellman es un algoritmo totalmente diferente (bueno, no tan totalmente, es una criptografía de clave pública, pero es NO se basa en ninguna de las claves mencionadas anteriormente RFC4419 ).

Esto significa que sus claves generadas previamente no se ven afectadas.

    
respondido por el Jakuje 14.10.2015 - 00:08
fuente

Lea otras preguntas en las etiquetas