LINUX.ORG.RU
ФорумAdmin

Что ещё осталось непонятного в Openssh

 ,


0

3

Ключи для аутентификации нужны только для аутентификации, сами же передаваемые данные шифруются сеансовым ключом, который периодически перегенерируется. О повышении криптостойкости ключа аутентификации было сказано многое: что нужно грамотно выбирать тип шифрования: RSA, DSA или EDDSA, повышать битность ключа, а как дела обстоят с сеансовым ключом, у сервера есть настройки, позволяющие повысить криптостойкость сеансового ключа?
А что можете сказать о хостовых ключах, которые /etc/ssh/ssh_host_key. Они ведь нужны для идентификации сервера, а если я своему серверу доверяю, то пусть как они сгенерировались один раз автоматом, то пусть так и остаются, так?
И последний невыясненный вопрос остался как создавать ssh-тунели? Читаю, непонятно как-то написано, есть проброс внутреннего порта, есть проброс внешнего. Вот если я хочу соединение с VNC-сервером завернуть в ssh-тунель, чтобы не держать порт 5900 открытым во внешний мир, какие действия именно я должен выполнить?

★★★★★

если я хочу соединение с VNC-сервером завернуть в ssh-тунель, чтобы не держать порт 5900 открытым во внешний мир, какие действия именно я должен выполнить?

ssh -L 5900:127.0.0.1:5900 ...

no-dashi ★★★★★
()

как дела обстоят с сеансовым ключом, у сервера есть настройки, позволяющие повысить криптостойкость сеансового ключа?

 -c cipher_spec
             Selects the cipher specification for encrypting the session.

             Protocol version 1 allows specification of a single cipher.  The supported values are “3des”, “blowfish”, and “des”.  For protocol version 2,
             cipher_spec is a comma-separated list of ciphers listed in order of preference.  See the Ciphers keyword in ssh_config(5) for more information.

оно?

Deleted
()

ssh -Q cipher

не?

anonymous
()

Ключи для аутентификации нужны только для аутентификации, сами же передаваемые данные шифруются сеансовым ключом, который периодически перегенерируется.

Примерно так.

О повышении криптостойкости ключа аутентификации было сказано многое: что нужно грамотно выбирать тип шифрования: RSA, DSA или EDDSA, повышать битность ключа

Это всё ерунда. Достаточно длинный ключ, остальное только чтобы снизить нагрузку на сервер, которая и так меньше статистической погрешности.

а как дела обстоят с сеансовым ключом, у сервера есть настройки, позволяющие повысить криптостойкость сеансового ключа?

В этом нет необходимости.

А что можете сказать о хостовых ключах, которые /etc/ssh/ssh_host_key. Они ведь нужны для идентификации сервера, а если я своему серверу доверяю, то пусть как они сгенерировались один

раз автоматом, то пусть так и остаются, так?

Если нет оснований подозревать, что ключи скомпрометированы (т.е. сервер взломали и порутали), надобности в их смене нет.

И последний невыясненный вопрос остался как создавать ssh-тунели? Читаю, непонятно как-то написано, есть проброс внутреннего порта, есть проброс внешнего. Вот если я хочу соединение с VNC-сервером завернуть в ssh-тунель, чтобы не держать порт 5900 открытым во внешний мир, какие действия именно я должен выполнить?

VNC-сервер должен биндиться на локалхост. Пробрасываешь коннект таким образом, что ssh-клиент открывает слушающий сокет на твой машине и все соединения перебрасывает на VNC-сервер на удалённой машине.

Legioner ★★★★★
()
Ответ на: комментарий от berrywizard

Софтоспецифично. Работает только в частном случае

no-dashi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin