কীভাবে ssh হোস্ট কীগুলি রোল করবেন?

17

আমি আমার এসএসএস সার্ভারকে 2048-বিট আরএসএ কীগুলি থেকে বৃহত্তর কীগুলিতে আপগ্রেড করার চেষ্টা করছি, কারণ শীঘ্রই 2048-বিট কীগুলি শেষ করার প্রস্তাব দেওয়া হচ্ছে।

আমি একটি নতুন কী তৈরি করেছি, তারপরে এটি এসএসডি কনফিগারেশনে যুক্ত করেছি:

হোস্টকি / ইত্যাদি / এসএসএস / এসএস_হোস্ট_রসা_কি (পুরানো 2k-             বিট কী প্রথমে) 
হোস্টকি / ইত্যাদি / এসএসএস / এসএসএইচ_হোস্ট_সিআস 4096_key         (নতুন বৃহত্তর কী 2 য় )

পুনরায় চালু করার পর sshd, আমি হোস্টে ssh'd, আমি সনাক্তকরণ পরিবর্তিত সতর্কবার্তা পাবেন না, তবে এছাড়া আপনি নতুন ক্যাশে করা হয় না ~/.ssh/known_hosts। যদি আমি বিপরীত ক্রমে লাইনগুলি রাখি, আমি সনাক্তকরণের পরিবর্তিত সতর্কতা পেয়েছি। একইভাবে, আমি যখন একটি ed25519 কী যুক্ত করি, তখন আমি এটিকে যে অর্ডার দিই না কেন, ক্লায়েন্ট পরিচিত হোস্ট ফাইলটিতে নতুন কী যুক্ত করে না।

এটি এসএসএইচ হোস্ট কী রোলওভারটিকে অসম্ভবকে অসম্ভব বলে মনে হচ্ছে that's এটি বিশ্বাস করা সত্যিই সত্য, যদিও নিয়মিতভাবে নিরাপত্তা বিবেচনা করার জন্য আপগ্রেডিং কীগুলি প্রয়োজন।

আমি জানি আপনি কীটি কেবল অদলবদল করতে পারবেন, তারপরে প্রতিটি ক্লায়েন্টকে ssh-keygen -Rপুরানো কীটি সরিয়ে ফেলার জন্য দৌড়াতে হবে, তারপরে ম্যানুয়ালি নতুন কীটি যাচাই এবং গ্রহণ করুন — তবে এটি একটি সত্যিকারের ব্যথা, বিশেষত যদি আপনার অনেক ক্লায়েন্ট সংযুক্ত থাকে বা প্রশাসনিক না হন সমস্ত ক্লায়েন্ট। উল্লেখ করার মতো নয়, আপনি যদি ক্লায়েন্টদের পরিচালনা করেন না তবে খুব ভাল সুযোগ রয়েছে তারা আসলে হোস্ট কীটি পরীক্ষা করবে না এবং পরিবর্তে কেবল Y- তে আঘাত করবে — সুতরাং সুরক্ষার উন্নতির প্রয়াস সম্ভবত আপনাকে ম্যান-ইন- এ উন্মুক্ত করবে পরিবর্তে মধ্যম আক্রমণ।

এসএসএইচ হোস্ট কী আপগ্রেডগুলি কাজ করার কোনও উপায় আছে? এটি হ'ল, ক্লায়েন্টদের নতুন আরও সুরক্ষিত কী শিখতে হবে (এবং আশা করা যায় যে অপ্রচলিত কীটি অ-শিখতে হবে)। এবং হোস্ট কীটি ম্যান-ইন-মিডল সতর্কবার্তা পরিবর্তিত না করেই।

ssh  openssh 
derobert
সূত্র
দয়া করে একটি চেহারা আছে এই । যদিও এটি এখনই আপনি যা চান তার কোনও সমাধান সরবরাহ করে না, এটি আপনাকে ভবিষ্যতে আপনার শেষ লক্ষ্যগুলি অর্জনে সহায়তা করতে পারে।
আরডিএ

উত্তর:

14

ওপেনএসএসএইচ 6.8 (ক্লায়েন্ট এবং সার্ভার উভয়ই এই সংস্করণে সমর্থন যোগ করেছে) থেকে হোস্ট কী রোটেশনটি সমর্থিত।

সুতরাং প্রক্রিয়াটি এইভাবে কাজ করা উচিত:

  • বিকল্পটি HostKey newkey(বিদ্যমানগুলির পরে) সহ নতুন কী তৈরি করুন এবং যুক্ত করুন/etc/ssh/sshd_config
  • আবার শুরু sshd
  • ক্লায়েন্টদের UpdateHostKeys yesতাদের কনফিগারেশনে সেট আপ করতে হবে (হয় বিশ্বব্যাপী, বা প্রতি হোস্ট)
  • সংযোগকারী ক্লায়েন্টরা সমস্ত নতুন কী বেছে নেবে
  • কিছু সময় (মাস?) পরে আপনি পুরানো কীগুলি সরিয়ে sshd_configআবার চালু করতে পারেনsshd
  • ক্লায়েন্টদের (যা রূপান্তরের সময়কালে সংযুক্ত ছিল) ইতিমধ্যে নতুন কীগুলি থাকবে (পুরাতন সরানো হবে না, যা এখানে একমাত্র সমস্যা) এবং তারা এমআইটিএম আক্রমণ সতর্কতা প্রদর্শন করবে না।

নতুন পর্যাপ্ত ক্লায়েন্টরা নতুন কীগুলি তুলতে সক্ষম হবে। এই বৈশিষ্ট্যটি ডিফল্টরূপে সক্ষম নয়, সম্ভবত এটি বেশ নতুন এবং শীঘ্রই কিছু সুরক্ষার বিবেচনা দেখিয়েছে। তবে এই দিনগুলিতে এটি ব্যবহার করা ভাল হবে।

Jakuje
সূত্র
-4

sshd সর্বদা প্রথম লাইন ব্যবহার করুন, তাই এটি মুছুন, তারপরে sshd পুনরায় চালু করুন।

ইপুর স্যারসার
সূত্র
1
... ভীতিজনক হোস্ট কীতে ফলাফল সতর্কতা বদলেছে। ক্লায়েন্টদের নতুন কী শিখিয়ে (এবং পুরানোটি বের করে আনে) তা এড়াতে চেষ্টা করছেন।
ডারোবার্ট
তুমি ঠিক. আপনি একসাথে 2 টি আলাদা কী ব্যবহার করতে পারবেন না। এসএসএল টিএসএস নয়। কোনও পরিবর্তন কী যুক্ত করার বৈশিষ্ট্য নেই।
আইপোর সিরসর
4
এটি এসএসএল বা টিএলএস নয়। প্রোটোকলটি একাধিক হোস্ট কী সমর্থন করে। উদাহরণস্বরূপ, এতে প্রত্যেকেরই ব্যবহৃত হত আরএসএ এবং ডিএসএ কী। এখন এটি সাধারণত ED25519, ইসিডিএসএ এবং আরএসএ কীগুলি।
ডারোবার্ট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.