Gevolgen van tampered / etc / ssh / moduli beschrijft een mogelijk risico als er met het modulibestand voor een OpenSSH-server is geknoeid.
Met de logica een stap verder, is er enige bezorgdheid over het standaardbestand dat met OpenSSH wordt meegeleverd? Vraag ik omdat het artikel Secure Secure Shell dit vermeldt:
Als je ervoor kiest om 5 [diffie-hellman-group-exchange-sha256] in te schakelen, open dan / etc / ssh / moduli indien aanwezig, en verwijder regels waarvan de 5e kolom kleiner is dan 2000. Als deze niet bestaat, maak het dan aan:
ssh-keygen -G "$ {HOME} / moduli" -b 4096ssh-keygen -T / etc / ssh / moduli -f "$ {HOME} / moduli" rm "$ {HOME} / moduli"
Dit leest als me alsof DH-priemgetallen van minder dan 2048 als onzeker worden beschouwd en moeten worden vervangen door grotere priemgetallen. De OpenSSH-ontwikkelaars, slimme mensen, hebben het bestand dat standaard wordt meegeleverd echter niet vervangen door een bestand dat grotere prime-lenzen bevat. Mis ik iets?