Seite 1 von 1
SSH - Re-Keying
Verfasst: 06.11.2019 09:28:45
von sergej2018
Moin zusammen,
habe neulich diese beiden Threads auf gemacht:
viewtopic.php?f=37&t=175328
viewtopic.php?f=37&t=167629
Dabei stieß ich drauf, dass auch openSSH einen passenden Parameter für Rekeying in seiner Konfiguration besitzt, nämlich:
Bedeutet in dieser Form: Tausche den Sitzungsschlüssel, wenn entweder 250MB übertragen wurden, oder 1800s rum sind.
Nutzt das jemand von euch? Ich würd' auch gern prüfen, ob der Key wirklich getauscht wird, wie kann ich das tun?
Bei openVPN genügt es, nen Blick ins Log zu werfen. Das ist hier leider nicht der Fall...
Re: SSH - Re-Keying
Verfasst: 06.11.2019 09:49:07
von smutbert
Wenn man genug Meldungen protokolliert, taucht es zweifelsohne auch im Log auf (standardmäßig wird ab "info" geloggt glaube ich, das dürften aber debug-Meldungen sein - dafür gibt es auch einen Eintrag in der Konfigurationsdatei).
Ohne weitere Änderungen an den Log-Einstellungen des Servers kannst du es am Client mitverfolgen. Ich haba es gerade mit dem Kopieren einer großen Datei mit
ausprobiert und alle x MB kam ein großer Schwung Meldungen über die Neuaushandlung des Schlüssels.
sergej2018 hat geschrieben: 
06.11.2019 09:28:45
Nutzt das jemand von euch?
Das tut doch jeder, der es nicht explizit abschaltet. Laut Dokumentation wird per default, abhängig vom Verschlüsselungsalgorithmus, der Schlüssel alle 1 - 4 GB gewechselt.
Re: SSH - Re-Keying
Verfasst: 06.11.2019 10:12:44
von sergej2018
Moin,
stimmt, wenn ich das Loglevel auf "Debug" hoch drehe, sehe ich's auf dem Server in der auth.log. Sind dann jeweils 2 Zeilen.
Aber wo hast du die Info denn auf dem Client gefunden?
Edit: Interessanterweise wird beim Einsatz von sshfs NICHT rekeyed, wie es in der config angegeben ist...
Re: SSH - Re-Keying
Verfasst: 06.11.2019 10:31:50
von smutbert
Auf dem Client einfach die Gesprächigkeit mit der ausreichenden Anzahl der Option "-v" erhöhen, so wie in meinem vorigen Beitrag im scp-Befehl oder mit ssh mit
dann landen die Meldungen über die Standarfehlerausgabe auf der Konsole.
Sonst kann ich auch nicht mehr machen als im Netz danach zu suchen, besonders bei sshfs, das ich nicht nutze, aber das worüber ich gestolpert bin legt den Verdacht nahe, dass der Client die rekeying-Einstellungen des Servers überstimmen kann.
Re: SSH - Re-Keying
Verfasst: 06.11.2019 11:21:47
von mat6937
sergej2018 hat geschrieben: 06.11.2019 10:12:44
Aber wo hast du die Info denn auf dem Client gefunden?
BTW: Mit der escape sequence "~R" kannst Du das rekeying auch erzwingen/anfordern und wenn vorher "~v" gesetzt, auch anzeigen lassen:
Code: Alles auswählen
:~ % ~?
Supported escape sequences:
~. - terminate connection (and any multiplexed sessions)
~B - send a BREAK to the remote system
~C - open a command line
~R - request rekey
~V/v - decrease/increase verbosity (LogLevel)
~^Z - suspend ssh
~# - list forwarded connections
~& - background ssh (when waiting for connections to terminate)
~? - this message
~~ - send the escape character by typing it twice
(Note that escapes are only recognized immediately after newline.)
debug2: channel 0: written 506 to efd 6
EDIT:
Dafür sollte:
konfiguriert sein.