Recientemente seguí el consejo en este blog para restringir mi SSH seguridad, que incluía la restricción de algoritmos de intercambio de claves a aquellos que no son vulnerables a las capacidades conocidas (o supuestamente conocidas) de los ataques Prime en DH.
Estoy contento con la configuración y está funcionando bien, pero desde que implementé esto en mi servidor, ahora veo muchos mensajes como estos en los registros:
sshd [19853]: fatal: no se puede negociar con XXX: no se encontró un método de intercambio de clave coincidente. Su oferta: diffie-hellman-group14-sha1, diffie-hellman-group-exchange-sha1, diffie-hellman-group1-sha1 [preauth]
Esto no me preocupa, estas son las conexiones aleatorias habituales al puerto 22 que estaba viendo anteriormente, excepto que ahora se rechazan en el intercambio de claves en lugar de durante el intento de autenticación del usuario (es decir, intentar iniciar sesión como root, oracle , etc).
Soy el único usuario en el host, por lo que todos estos son intentos de prueba / pirateo. Pero me interesa que la mayoría de los intentos de conexión se centren en estos algoritmos. Aquí está el desglose de las firmas más comunes que veo:
> journalctl -n 1000 | grep sshd | grep "no matching key exchange" | sed -r 's/.*Their offer: (.*) \[preauth\]//' | sort | uniq -c
2 diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256
4 diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1,diffie-hellman-group14-sha1
1 diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
63 diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
411 diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
Para el más común diffie-hellman-group14-sha1, diffie-hellman-group-exchange-sha1, diffie-hellman-group1-sha1 , tengo curiosidad si esto es un específico firma (es decir, quizás este es el valor predeterminado en ciertas versiones anteriores de SSH) o si se trata de una indicación de piratas informáticos que restringen a propósito el intercambio de claves para centrarse en estos algoritmos más débiles.
Mi búsqueda en Google no muestra nada de valor, así que me dirijo a esta comunidad con la esperanza de que alguien aquí haya visto e investigado esto antes. Más curiosidad que un problema por resolver, pero aún así, espero que alguien aquí tenga el conocimiento para satisfacer la curiosidad. :)