Consecuencias de manipulado / etc / ssh / moduli describe un posible riesgo si el archivo de módulos para un servidor OpenSSH ha sido manipulado.
Llevando la lógica un paso más allá, ¿existe alguna preocupación con el archivo predeterminado enviado con OpenSSH ? Lo pregunto porque el artículo Secure Secure Shell menciona esto:
Si elige habilitar 5 [diffie-hellman-group-exchange-sha256], abra / etc / ssh / moduli si existe, y elimine las líneas donde la 5ª columna es menor que 2000. Si no existe, cree it:
ssh-keygen -G "${HOME}/moduli" -b 4096 ssh-keygen -T /etc/ssh/moduli -f "${HOME}/moduli" rm "${HOME}/moduli"
Esto me parece que los números primos DH inferiores a 2048 se consideran inseguros y deben reemplazarse con números primos más grandes. Sin embargo, los desarrolladores de OpenSSH, personas inteligentes, no han reemplazado el archivo que se entrega de manera predeterminada por uno que sí incluye números primos más grandes. ¿Me estoy perdiendo algo?