Что ещё осталось непонятного в Openssh

0

3

Ключи для аутентификации нужны только для аутентификации, сами же передаваемые данные шифруются сеансовым ключом, который периодически перегенерируется. О повышении криптостойкости ключа аутентификации было сказано многое: что нужно грамотно выбирать тип шифрования: RSA, DSA или EDDSA, повышать битность ключа, а как дела обстоят с сеансовым ключом, у сервера есть настройки, позволяющие повысить криптостойкость сеансового ключа?
А что можете сказать о хостовых ключах, которые /etc/ssh/ssh_host_key. Они ведь нужны для идентификации сервера, а если я своему серверу доверяю, то пусть как они сгенерировались один раз автоматом, то пусть так и остаются, так?
И последний невыясненный вопрос остался как создавать ssh-тунели? Читаю, непонятно как-то написано, есть проброс внутреннего порта, есть проброс внешнего. Вот если я хочу соединение с VNC-сервером завернуть в ssh-тунель, чтобы не держать порт 5900 открытым во внешний мир, какие действия именно я должен выполнить?

Ссылка

←	Создание кластера VOIP (WebRTC + SIP)

Перенос машин с KVM/libvirt на oVirt

→

если я хочу соединение с VNC-сервером завернуть в ssh-тунель, чтобы не держать порт 5900 открытым во внешний мир, какие действия именно я должен выполнить?

ssh -L 5900:127.0.0.1:5900 ...

~~no-dashi~~ ★★★★★
(08.10.2015 12:20:36 +00:00)

как дела обстоят с сеансовым ключом, у сервера есть настройки, позволяющие повысить криптостойкость сеансового ключа?

 -c cipher_spec
             Selects the cipher specification for encrypting the session.

             Protocol version 1 allows specification of a single cipher.  The supported values are “3des”, “blowfish”, and “des”.  For protocol version 2,
             cipher_spec is a comma-separated list of ciphers listed in order of preference.  See the Ciphers keyword in ssh_config(5) for more information.

оно?

Deleted
(08.10.2015 12:40:04 +00:00)

ssh -Q cipher

не?

anonymous
(08.10.2015 15:48:47 +00:00)

Ссылка

Ответ на: комментарий от Deleted 08.10.2015 12:40:04 +00:00

Оно. Вот копнул глубже - нашёл статью http://www.tech-notes.net/ssh-security-tuning/

sunny1983 ★★★★★
(08.10.2015 19:35:58 +00:00) автор топика

Ссылка

Ключи для аутентификации нужны только для аутентификации, сами же передаваемые данные шифруются сеансовым ключом, который периодически перегенерируется.

Примерно так.

О повышении криптостойкости ключа аутентификации было сказано многое: что нужно грамотно выбирать тип шифрования: RSA, DSA или EDDSA, повышать битность ключа

Это всё ерунда. Достаточно длинный ключ, остальное только чтобы снизить нагрузку на сервер, которая и так меньше статистической погрешности.

а как дела обстоят с сеансовым ключом, у сервера есть настройки, позволяющие повысить криптостойкость сеансового ключа?

В этом нет необходимости.

А что можете сказать о хостовых ключах, которые /etc/ssh/ssh_host_key. Они ведь нужны для идентификации сервера, а если я своему серверу доверяю, то пусть как они сгенерировались один

раз автоматом, то пусть так и остаются, так?

Если нет оснований подозревать, что ключи скомпрометированы (т.е. сервер взломали и порутали), надобности в их смене нет.

И последний невыясненный вопрос остался как создавать ssh-тунели? Читаю, непонятно как-то написано, есть проброс внутреннего порта, есть проброс внешнего. Вот если я хочу соединение с VNC-сервером завернуть в ssh-тунель, чтобы не держать порт 5900 открытым во внешний мир, какие действия именно я должен выполнить?

VNC-сервер должен биндиться на локалхост. Пробрасываешь коннект таким образом, что ssh-клиент открывает слушающий сокет на твой машине и все соединения перебрасывает на VNC-сервер на удалённой машине.

~~Legioner~~ ★★★★★
(08.10.2015 20:23:51 +00:00)