Une stratégie d'atténuation suggérée contre les attaques liées à Logjam sur SSH consiste à générer des groupes Diffie-Hellman SSH personnalisés en utilisant quelque chose comme (le ci-dessous étant pour OpenSSH)
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
suivi du remplacement du fichier de modules à l'échelle du système par le fichier de sortie moduli-2048
. ( ssh-keygen -G
est utilisé pour générer des candidats DH-GEX premiers et ssh-keygen -T
pour tester la sécurité des candidats générés.)
C'est assez clairement une chose raisonnable à faire sur des serveurs SSH qui autrement utiliseraient des groupes bien connus qui se prêtent bien au précalcul, mais y a-t-il des avantages en termes de sécurité à déployer des groupes DH SSH personnalisés sur des systèmes client uniquement? (Autrement dit, les systèmes qui se connectent aux serveurs SSH, mais qui n'agissent jamais eux-mêmes comme serveurs SSH.)
Je suis principalement intéressé par les réponses relatives à OpenSSH sur Linux, mais des réponses plus génériques seraient également appréciées.
La réponse est: Non. Il n'y a aucun avantage. :)
/etc/ssh/moduli
Le fichier est utilisé uniquement pour le côté serveur.Vous n'avez pas à vous soucier de ce fichier pour le côté client SSH:
Vous pouvez suivre l'exécution du client SSH et vérifier qu'il n'ouvre pas ce fichier.
la source