¿Cómo puedo deshabilitar la autenticación DSA y ECDSA en mi servidor con OpenSSH 5.9? Revisar el material de documentación y realizar una búsqueda en la web no produjo ningún resultado, solo un informe de error anterior para el paquete Debian aquí (y aquellos vinculados en la parte inferior de ese error) pero no hay conclusión.
Suponiendo que no es posible desactivar esos dos métodos dentro de /etc/ssh/sshd_config
, ¿es suficiente? (Sintaxis de Bash): for i in /etc/ssh/ssh_host_{ecdsa,dsa}_key*; do echo -n ""|sudo tee "$i"; sudo chattr +i "$i"; done
(a continuación con saltos de línea para facilitar la lectura):
for i in /etc/ssh/ssh_host_{ecdsa,dsa}_key*;
do
echo -n ""|sudo tee "$i"
sudo chattr +i "$i"
done
I.e. para invalidar las claves de host y luego hacerlas inmutables, por lo que no es posible realizar intentos de sshd
para regenerar las claves de host de DSA y ECDSA.
La razón por la que quiero deshabilitar DSA es porque hay fuentes que reclaman debilidades en el algoritmo que se han abusado activamente, como Wikipedia y este sitio web . Cavé un poco más y me parece creíble. La ventaja más pragmática y menos teórica es la velocidad de verificación de RSA sobre DSA.
TL; DR: ¿es posible configurar sshd
desde OpenSSH en sshd_config
para deshabilitar ECDSA y DSA? De lo contrario, ¿se puede evitar la autenticación exitosa con esos métodos configurando los archivos de la clave del host como inmutables?