Extrem säkerhet på SSH förbindelse

Tråden skapades 2011-09-02 och har fått 1 svar. Det senaste inlägget skrevs 2011-09-02.

1

2011-09-02 20:33

#1

anon17392092
Medlem ●
2011-09-02 20:33

Nu finns det risk för att jag lägger denna post i fel kategori, och ber om ursäkt för det, men jag anser att frågan egentligen skall ligga i två kategorer, men hur som helst.

Frågan är den att jag har försökt hitta information som ger mig svart på vitt vilka nycklar som SSH har stöd för, jag använder mig av puttygen för att genererar mina nyckelpar och där finns tre olika algoritmer som jag kan använda mig av, men jag ställer mig ändå tveksam. Så kan någon bekräfta vilka nycklar som SSH har stöd för.

Skulle jag själv få välja så hade min SSH förbindelse med min linux server skett antingen via AES eller 3DES men det stödet verkar inte finnas, och jag verkar inte vara ensam.

Konfigurationen är ju rätt enkel att fixa bra säkerhet, men det jag kammar noll på är maximal säkerhet gällande krypteringen av förbindelsen.

DH (Diffie Hellman) används för nyckelutbyte så där kan man nog inte ändra på så mycket.

RSA-512 är knäckt, visserligen med bruteforce och den används i både kryptering, signaturer och nyckelutbyte.

DSA har ingen begränsning men används endast till signaturer.

Om någon paranoid tjomme här på forumet kan hjälpa mig med kortfattat ge förslag på hur jag ställer om SSH till paranoid mode gällande nyckelhantering, kryptering, och motsvarande så skulle jag uppskatta det. Har googlat men failade på att hitta det jag är ute efter.

Anmäl Ändra Gilla Svara

2011-09-02 22:10

#2

suddgummi
Inte helt 100 ●
Irland
2011-09-02 22:10

Har du provat att läsa manualen på linuxburken? Min stödjer i vart fall AES och 3DES.

Ursprungligen av man ssh på Ubuntu 10.10:

AUTHENTICATION
The OpenSSH SSH client supports SSH protocols 1 and 2. The default is to use protocol 2 only, though this can be changed via the
Protocol option in ssh_config(5) or the -1 and -2 options (see above). Both protocols support similar authentication methods, but
protocol 2 is the default since it provides additional mechanisms for confidentiality (the traffic is encrypted using AES, 3DES,
Blowfish, CAST128, or Arcfour) and integrity (hmac-md5, hmac-sha1, umac-64, hmac-ripemd160). Protocol 1 lacks a strong mechanism
for ensuring the integrity of the connection.

Väljer chiffer gör du i sshd_config

Ursprungligen av man sshd_config:

Ciphers
Specifies the ciphers allowed for protocol version 2. Multiple ciphers must be comma-separated. The supported ciphers are
“3des-cbc”, “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “arcfour128”, “arcfour256”,
“arcfour”, “blowfish-cbc”, and “cast128-cbc”. The default is:

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour

Lämpligen konfigurerar du så att enbart protokoll 2 används också.
Men jag är inte så paranoid så jag har kollat jättenoga på detta. Jag har inga statshemligheter i mitt nätverk