Задать вопрос
shanker
@shanker
системное-администрирование

Какова криптостойкость SSH?

Пытаюсь понять насколько безопасно использование SSH с дефолтными настройками. И если нужно что-то изменять — то что именно. Из угроз интересует:

Дешифрование трафика между клиентом и сервером при атаке «человек посередине»:
1. в момент авторизации (перехват пакетов авторизации и восстановление пароля на доступ к ssh-серверу)
2. после авторизации (восстановление любых данных: вводимых команд в удалённой консоли или трафика в случае если ssh-сервер выступает как ssh socks proxy)
Остальные вопросы безопасности (подбор пароля и т.д.) не особо интересуют, т.к. к ssh-серверу можно коннектиться только с определённых IP (настройками iptables реализовано).

ОС: Ubuntu 12.04
SSH-сервер: SSH-2.0-OpenSSH_5.9p1

Файлы SSH сервера:

668 байт — /etc/ssh/ssh_host_dsa_key
608 байт — /etc/ssh/ssh_host_dsa_key.pub
2276 байт — /etc/ssh/ssh_host_ecdsa_key
180 байт — /etc/ssh/ssh_host_ecdsa_key.pub
1679 байт — /etc/ssh/ssh_host_rsa_key
400 байт — /etc/ssh/ssh_host_rsa_key.pub
  • Вопрос задан
  • 4006 просмотров
Комментировать
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
@joneleth
вам для чего это вообще? Дефолтные настройки вполне достаточны в реальной жизни.
Ответ написан
Комментировать
Комментировать
sledopit
@sledopit
mitm работает только при парольной авторизации. с ключами можно спать спокойно. подробнее.
внедриться в установленную сессию так же не предоставляется возможным, емнип.
Ответ написан
2 комментария
2 комментария
@ComodoHacker
Ошибка парсера, прошу прощения
Ответ написан
Комментировать
Комментировать
@ComodoHacker
user@host:~$ grep '^[^;#]' /etc/ssh/sshd_config Port XXXXX Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key UsePrivilegeSeparation yes KeyRegenerationInterval 3600 ServerKeyBits 768 SyslogFacility AUTH LogLevel INFO LoginGraceTime 120 PermitRootLogin no StrictModes yes RSAAuthentication no PubkeyAuthentication yes IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no PasswordAuthentication no X11Forwarding no X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server -u 0007 UsePAM yes
Честно сказать, не помню точно, что именно менял, но по-моему только порт, вход по паролю и рута
Это на серверах. Если же на машину ходит много народу и они сами устанавливают себе ключи-пароли, тут уже надо серьезно думать. Человеческий фактор.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий системный администратор
ФИНФОРТ Краснодар
от 200 000 ₽
Удаленный системный администратор
Ситрус Москва
от 100 000 до 120 000 ₽
Системный администратор
Wanted. Санкт-Петербург
До 100 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Изображения на главную страницу в стиле Jetton и 1вин
25 нояб. 2024, в 00:22
12000 руб./за проект
Дизайн презентации
24 нояб. 2024, в 23:46
20000 руб./за проект
Разработать Telegram-бота для анализа звонков продаж
24 нояб. 2024, в 23:15
10000 руб./за проект
Ещё заказы