Devo manter os pacotes openssh depois de modificar o / etc / ssh / moduli?

Navegue suas respostas
0

Especificamente, eu instalei o OpenSSH em ambas as máquinas:

  • GNU / Linux Debian 9.3 com a versão OpenSSH 1:7.4p1-10+deb9u2

  • Linux Mint 18.3 com a versão OpenSSH 1:7.2p2-4ubuntu2.4

Nesta questão , eu li o seguinte arquivo é distribuído com o código-fonte OpenSSH: 

/etc/ssh/moduli

Presumivelmente com o (s) pacote (s). Estou certo com a suposição de que, se eu alterar o arquivo para obter os tamanhos fracos, e se eu não mantiver o (s) pacote (s) openssh-server e / ou openssh-client , o arquivo será sobrescrito pelo sua próxima atualização de versão?

E se for, posso colocar o arquivo único em espera de alguma forma?

Eu fiz o seguinte:

  1. Backup do arquivo: 

    mv /etc/ssh/moduli /etc/ssh/moduli.bak

  2. Filtrei os tamanhos inferiores a 4095 com: 

    awk '$5 >= 4095' /etc/ssh/moduli.bak > /etc/ssh/moduli
por Vlastimil 05.02.2018 / 16:16

2 respostas

2

Isso depende do seu sistema operacional. Sistemas Debian (como "o Ubuntu") certamente lhe perguntarão o que fazer com o arquivo: 

Configuration file '/etc/ssh/moduli'
 ==> Modified (by you or by a script) since installation.
 ==> Package distributor has shipped an updated version.
   What would you like to do about it ?  Your options are:
    Y or I  : install the package maintainer's version
    N or O  : keep your currently-installed version
      D     : show the differences between the versions
      Z     : start a shell to examine the situation
 The default action is to keep your current version.
*** moduli (Y/I/N/O/D/Z) [default=N] ?
    
por 05.02.2018 / 16:24
1

Os sistemas RedHat marcam esse arquivo como configuração e noreplace : 

$ cd
$ yumdownloader --source openssh
$ rpm -i openssh-7.4p1-13.el7_4.src.rpm
$ grep /moduli rpmbuild/SPECS/openssh.spec | head -1
%attr(0644,root,root) %config(noreplace) %{_sysconfdir}/ssh/moduli

Por isso, não irá afetar as alterações locais. As atualizações de pacote serão instaladas como /etc/ssh/moduli.rpmnew , que um administrador pode precisar revisar em relação ao personalizado.

No entanto, observe o aviso em ssh-keygen(1) : 

 Screened DH groups may be installed in /etc/moduli.  It is important that
 this file contains moduli of a range of bit lengths and that both ends of
 a connection share common moduli.
    
por 05.02.2018 / 17:45

Tags

Depois de configurar as chaves ssh, como eu posso ssh no servidor de tal forma que o par de chaves será ignorado? Compartilhar o histórico do shell nas sessões sem intercalá-lo