Salah satu strategi mitigasi yang disarankan terhadap serangan yang terkait dengan Logjam pada SSH adalah menghasilkan grup SSH Diffie-Hellman khusus menggunakan sesuatu seperti (di bawah ini untuk OpenSSH)
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
diikuti dengan mengganti file moduli seluruh sistem dengan file output moduli-2048
. ( ssh-keygen -G
digunakan untuk menghasilkan kandidat primer DH-GEX, dan ssh-keygen -T
untuk menguji kandidat yang dihasilkan untuk keamanan.)
Ini jelas merupakan hal yang wajar untuk dilakukan pada server SSH yang jika tidak akan menggunakan kelompok-kelompok terkenal yang cocok untuk perhitungan awal, tetapi apakah ada manfaat keamanan untuk menempatkan kelompok DHH SS khusus ke dalam sistem khusus klien? (Yaitu, sistem yang terhubung ke server SSH, tetapi tidak pernah bertindak sebagai server SSH sendiri.)
Saya terutama tertarik pada jawaban yang berkaitan dengan OpenSSH di Linux, tetapi jawaban yang lebih umum akan dihargai juga.
Jawabannya adalah: Tidak. Tidak ada manfaatnya. :)
/etc/ssh/moduli
file hanya digunakan untuk sisi server.Anda tidak perlu khawatir tentang file itu untuk sisi klien SSH:
Anda dapat melacak eksekusi klien SSH dan memeriksa apakah itu tidak membuka file itu.
sumber