Uma estratégia mitigativa sugerida contra ataques relacionados ao Logjam no SSH é gerar grupos SSH Diffie-Hellman personalizados usando algo como (o abaixo é para o OpenSSH)
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
seguido pela substituição do arquivo de módulos de todo o sistema pelo arquivo de saída moduli-2048
. ( ssh-keygen -G
é usado para gerar candidatos DH-GEX primos e ssh-keygen -T
para testar os candidatos gerados quanto à segurança.)
Isso é claramente uma coisa razoável a se fazer nos servidores SSH que, de outra forma, usariam grupos conhecidos que se prestam bem à pré-computação, mas existem benefícios de segurança na implantação de grupos SSH DH personalizados em sistemas somente para clientes? (Ou seja, sistemas que se conectam a servidores SSH, mas nunca agem como um servidor SSH.)
Estou interessado principalmente em respostas relacionadas ao OpenSSH no Linux, mas respostas mais genéricas também serão apreciadas.
A resposta é: Não. Não há benefícios. :)
/etc/ssh/moduli
O arquivo é usado apenas para o lado do servidor.Você não precisa se preocupar com esse arquivo no lado do cliente SSH:
Você pode rastrear a execução do cliente SSH e verificar se ele não abre esse arquivo.
fonte