sshd_config TPCKeepAlive 是否仍然使用未加密的通道,因此容易受到攻击

sshd_config TPCKeepAlive 是否仍然使用未加密的通道,因此容易受到攻击

邮政从 2008 年开始在 ubuntuforums 建议禁用TCPKeepAlive

禁用 TCP KeepAlive 消息。这些消息是可欺骗的,并且是在加密通道之外发送的,而 ClientAliveInterval 是一种加密的、不可欺骗的(据我所知)替代方案,因此我认为没有理由使用 TCPKeepAlive。

现在还是这样吗?使用起来安全TCPKeepAlive还是更好ClientAliveInterval

我问这个是因为 digitaloceanTCPKeepAlive默认使用,如果存在漏洞,他们不会停止使用它吗?

答案1

您不应该相信您在互联网上读到的所有内容。 :) 启用不存在安全问题TCPKeepAlive。从来没有出现过这样的问题。手册中警告的意思sshd_config(5)是你不应该依赖TCPKeepAlive 独自的,因为攻击者可以欺骗它来欺骗服务器,使其认为连接仍然存在,但实际上并非如此。相反,你应该使用TCPKeepAlive 和...一起 ClientAliveInterval

您可以使用ClientAliveIntervalwithout TCPKeepAlive,但在绝大多数情况下禁用TCPKeepAlive不会达到任何有用的目的。唯一的影响是,ssh空闲时间超过计算机上的 TCP 超时(Linux 上默认为 2 小时)的连接将被关闭。这里的所有都是它的。

相关内容