OpenSSH：弱い（<2048ビット）RSAキーを禁止する方法

Question

ランタイム構成は可能ではありませんが、SSH_RSA_MINIMUM_MODULUS_SIZE次のコンパイル時定義を変更できます。sshkey.hそして再コンパイルしてください：

#define SSH_RSA_MINIMUM_MODULUS_SIZE    1024

到着

#define SSH_RSA_MINIMUM_MODULUS_SIZE    2048

それ以外の場合は、短いキーをインストールしないでください。authorized_keys少なくともエンコードされたキーの長さを実際のキーの長さの指標として受け入れる場合は、ユーザーファイルからその長さより短いキーを検索できます。

2048 ビット RSA キーのエンコード長は 372 文字なので、次の内容が短いキーと一致する可能性があります。

grep -E 'ssh-rsa [a-zA-Z0-9+/=]{,371}( |$)' file...

Answer 1

ランタイム構成は可能ではありませんが、SSH_RSA_MINIMUM_MODULUS_SIZE次のコンパイル時定義を変更できます。sshkey.hそして再コンパイルしてください：

#define SSH_RSA_MINIMUM_MODULUS_SIZE    1024

到着

#define SSH_RSA_MINIMUM_MODULUS_SIZE    2048

それ以外の場合は、短いキーをインストールしないでください。authorized_keys少なくともエンコードされたキーの長さを実際のキーの長さの指標として受け入れる場合は、ユーザーファイルからその長さより短いキーを検索できます。

2048 ビット RSA キーのエンコード長は 372 文字なので、次の内容が短いキーと一致する可能性があります。

grep -E 'ssh-rsa [a-zA-Z0-9+/=]{,371}( |$)' file...

おすすめ記事