Задать вопрос
shanker
@shanker
системное-администрирование

Какова криптостойкость SSH?

Пытаюсь понять насколько безопасно использование SSH с дефолтными настройками. И если нужно что-то изменять — то что именно. Из угроз интересует:

Дешифрование трафика между клиентом и сервером при атаке «человек посередине»:
1. в момент авторизации (перехват пакетов авторизации и восстановление пароля на доступ к ssh-серверу)
2. после авторизации (восстановление любых данных: вводимых команд в удалённой консоли или трафика в случае если ssh-сервер выступает как ssh socks proxy)
Остальные вопросы безопасности (подбор пароля и т.д.) не особо интересуют, т.к. к ssh-серверу можно коннектиться только с определённых IP (настройками iptables реализовано).

ОС: Ubuntu 12.04
SSH-сервер: SSH-2.0-OpenSSH_5.9p1

Файлы SSH сервера:

668 байт — /etc/ssh/ssh_host_dsa_key
608 байт — /etc/ssh/ssh_host_dsa_key.pub
2276 байт — /etc/ssh/ssh_host_ecdsa_key
180 байт — /etc/ssh/ssh_host_ecdsa_key.pub
1679 байт — /etc/ssh/ssh_host_rsa_key
400 байт — /etc/ssh/ssh_host_rsa_key.pub
  • Вопрос задан
  • 3995 просмотров
Комментировать
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
@joneleth
вам для чего это вообще? Дефолтные настройки вполне достаточны в реальной жизни.
Ответ написан
Комментировать
Комментировать
sledopit
@sledopit
mitm работает только при парольной авторизации. с ключами можно спать спокойно. подробнее.
внедриться в установленную сессию так же не предоставляется возможным, емнип.
Ответ написан
2 комментария
2 комментария
@ComodoHacker
Ошибка парсера, прошу прощения
Ответ написан
Комментировать
Комментировать
@ComodoHacker
user@host:~$ grep '^[^;#]' /etc/ssh/sshd_config Port XXXXX Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key UsePrivilegeSeparation yes KeyRegenerationInterval 3600 ServerKeyBits 768 SyslogFacility AUTH LogLevel INFO LoginGraceTime 120 PermitRootLogin no StrictModes yes RSAAuthentication no PubkeyAuthentication yes IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no PasswordAuthentication no X11Forwarding no X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server -u 0007 UsePAM yes
Честно сказать, не помню точно, что именно менял, но по-моему только порт, вход по паролю и рута
Это на серверах. Если же на машину ходит много народу и они сами устанавливают себе ключи-пароли, тут уже надо серьезно думать. Человеческий фактор.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Системный администратор
Глобал Смарт Системс Санкт-Петербург
от 100 000 до 120 000 ₽
Системный администратор (инженер) 🚀
Хабр Москва
от 140 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Установка OS debian 11, raid 5, raid 0
04 мая 2024, в 22:32
2000 руб./за проект
Отправка сообщений в телеграм
04 мая 2024, в 22:17
12000 руб./за проект
Рассылка сообщений в телеграм
04 мая 2024, в 22:17
10000 руб./за проект
Ещё заказы