これ郵便はがき2008年以来、Ubuntuフォーラムで推奨されているように無効になりました。TCPKeepAlive
TCP KeepAlive メッセージを無効にします。メッセージはなりすまし可能で暗号化されたチャネルの外部に送信され、ClientAliveIntervalは暗号化されて検閲できない(私が知る限り)代替手段であるため、TCPKeepAliveを使用する理由はありません。
まだそうですか?使用するのは安全ですかTCPKeepAlive
、それとも良いですかClientAliveInterval
?
digitaloceanではTCPKeepAlive
基本的に使用していますが、脆弱性があれば使用を中断しませんか?
ベストアンサー1
インターネットで読んだすべてを信じてはいけません。 :)有効にしてもセキュリティ上の問題はありませんTCPKeepAlive
。そのような問題が発生したことはありませんでした。マニュアルの警告はsshd_config(5)
依存してはいけません。TCPKeepAlive
ホロこれは、攻撃者がサーバーをだまして接続がまだ生きていると思うように欺くことができるからです。実際にはそうではありません。代わりに、次を使用する必要があります。TCPKeepAlive
~と ClientAliveInterval
。
ClientAliveInterval
なしで使用できますが、TCPKeepAlive
ほとんどの場合無効にしてもTCPKeepAlive
役に立ちません。唯一の影響は、ssh
マシンのTCPタイムアウト(Linuxではデフォルトの2時間)よりも長い間アイドル状態の接続が閉じられることです。ここにあるすべてがそれです。