He leído un grado de informes mixtos sobre las implicaciones de seguridad y / o el valor de permitir TCPKeepAlive yes
en /etc/ssh/sshd_config
(para OpenSSH-server). Cualquier comentario definitivo sobre las mejores prácticas de seguridad con respecto a TCPKeepAlive
y / o ClientAliveInterval
, etc. será bienvenido.
De lo que deduzco, no parece haber ningún riesgo real o inmediato de tener TCPKeepAlive yes
( fuente ) más allá de la posibilidad de que alguien pueda falsificar un paquete TCP para detener el tiempo de espera de una sesión SSH. Es decir.
En la siguiente sección notará que existe un problema de suplantación de identidad mantener vivo
( fuente - bajo el encabezado "Usuarios de SSH ")
Leí que esto significa que el riesgo de que tenga un impacto de seguridad serio en la sesión de SSH en sí mismo es nulo.
Sin embargo, un usuario de GitHub observa:
Tienes toda la razón. Parece que no hay un explotable real vulnerabilidad con TCPKeepAlive - todavía
¡¿Lo que implica que solo es cuestión de tiempo antes de que pueda explotarse ?!
Otra fuente sugiere que hay poco valor en TCPKeepAlive yes
, siempre que se configure ClientAliveInterval
apropiadamente.
Una publicación del blog (a partir de 2013) titulada "Endurecimiento de su SSH servidor "(bajo el encabezado" Evitar zombies ") sugiere:
Para evitar que las sesiones se cuelguen infinitamente, esto debería dejarse activado.
Aunque como no menciona ClientAliveInterval
, supongo que quizás no sea 100% relevante ahora.
Tenga en cuenta que a pesar de mi Google googlear significativo, todas mis fuentes, excepto la publicación del blog de 2013, provienen del hilo de GitHub al que he vinculado. Más allá de esas pocas menciones. No puedo encontrar nada sustancial de una manera u otra. Otras fuentes, especialmente las autorizadas, serán bien recibidas.