У всех на слуху страшилки про то как кровавые спецслужбы нас прослушивают, читают почту, и знают какие GIF'ки с котятками мы посмотрели. Отличный повод включить паранойю и сгененировать для SSH ключи на основе эллиптической криптографии!
Делается это очень просто, но к сожалению невозможно в дистрибутивах с американской "пропиской", не включающих код с патентованными алгоритмами.
1) генерируем ключики: # cd /etc/ssh
# ssh-keygen -t ecdsa -b 521
когда спросят название, пишем /etc/ssh/ssh_host_ecdsa_key
пароль не ставим
2) добавляем в /etc/ssh/sshd_config строчку HostKey /etc/ssh/ssh_host_ecdsa_key
3) перезапускаем sshd и пользуемся!
Подводный камень - как уже говорилось - патенты. Fedora и производные не поддерживают EC алгоритмы, PuTTY тоже ECDSA не понимает. С другой стороны RSA и DSA ключи не стираются, так что неполноценные SSH клиенты достучаться до сервера всё равно смогут.
Доброго времени суток! Уважаемая администрация данного сайта! Я обращаюсь в комменах, так как не смог найти ваших контактов нигде! Я по поводу партнерского дела. Хочу пригласить Вас в партнерку своего сайта http://linuxmd.net чтобы много не писать тут, прошу обратится ко мне в Skype: valentin_scerbakov или по моб. 078 53 34 94 !Жду
Кстати для федоровцев, согласно багзилле, EC алгоритмы включены начиная с:
openssl-1.0.1e-4.fc18.1
openssl-1.0.1e-4.fc19.1
openssl-1.0.1e-27.fc20
openssl-1.0.1e-27.fc21
Loading...
21, 2013 20:30
Достаточна подробная статья на тему эллиптических кривых в ssh
http://www.debianzilla.com/setevaya-bezopasnost/openssh/
22, 2013 0:02
@Nucleardragon спасибо, развёрнутая статья. Жаль только не объяснено почему именно не рекомендуется к использованию ssh-keygen
24, 2013 23:33
Доброго времени суток! Уважаемая администрация данного сайта! Я обращаюсь в комменах, так как не смог найти ваших контактов нигде! Я по поводу партнерского дела. Хочу пригласить Вас в партнерку своего сайта http://linuxmd.net чтобы много не писать тут, прошу обратится ко мне в Skype: valentin_scerbakov или по моб. 078 53 34 94 !Жду
16, 2013 16:18
@Валентин Даниэлин (Skype: valentin_scerbakov, моб. 078533494) — вижу паранойей ты не страдаешь 😀
Тебе может быть интересно присоединиться к этой рассылке:
https://groups.google.com/forum/#!forum/linuxmd-developers
16, 2013 20:31
Кстати для федоровцев, согласно багзилле, EC алгоритмы включены начиная с:
openssl-1.0.1e-4.fc18.1
openssl-1.0.1e-4.fc19.1
openssl-1.0.1e-27.fc20
openssl-1.0.1e-27.fc21
Вот bugzilla:
https://bugzilla.redhat.com/show_bug.cgi?id=319901
Жду с нетерпением пока опомнится Fedora Legal и скажет чтобы отключили назад 😀