2
มีประโยชน์ด้านความปลอดภัยใด ๆ ในการปรับใช้กลุ่ม SSH DH ที่กำหนดเองกับระบบเฉพาะลูกค้าหรือไม่
หนึ่งในกลยุทธ์บรรเทาผลกระทบที่แนะนำต่อการโจมตีที่เกี่ยวข้องกับLogjamใน SSH คือการสร้างกลุ่ม SSH Diffie-Hellman ที่กำหนดเองโดยใช้สิ่งที่ต้องการ (ด้านล่างสำหรับ OpenSSH) ssh-keygen -G moduli-2048.candidates -b 2048 ssh-keygen -T moduli-2048 -f moduli-2048.candidates moduli-2048ตามมาด้วยการเปลี่ยนไฟล์โมดูลทั้งระบบที่มีไฟล์ที่ส่งออก ( ssh-keygen -Gใช้เพื่อสร้างช่วงเวลา DH-GEX ของผู้สมัครและssh-keygen -Tทดสอบผู้สมัครที่สร้างขึ้นเพื่อความปลอดภัย) นี่เป็นสิ่งที่สมเหตุสมผลในการทำบนเซิร์ฟเวอร์ SSH ซึ่งจะใช้กลุ่มที่รู้จักกันดีซึ่งให้ผลกำไรก่อนการประมวลผลดี แต่มีประโยชน์ด้านความปลอดภัยในการปรับใช้กลุ่ม SSH DH ที่กำหนดเองบนระบบเฉพาะลูกค้าหรือไม่ (นั่นคือระบบที่เชื่อมต่อกับเซิร์ฟเวอร์ SSH แต่ไม่เคยทำหน้าที่เป็นเซิร์ฟเวอร์ SSH ด้วยตนเอง) ฉันสนใจคำตอบเกี่ยวกับ OpenSSH บน Linux เป็นหลัก แต่คำตอบทั่วไปจะได้รับการชื่นชมเช่นกัน