Ssh

sshd_config TPCKeepAlive 是否仍在使用未加密的通道,因此易受攻擊

  • September 2, 2017

這篇2008 年在 ubuntuforums 上的文章建議禁用TCPKeepAlive

禁用 TCP KeepAlive 消息。這些消息是可欺騙的,並在加密通道之外發送,而 ClientAliveInterval 是一種加密的、不可欺騙的(我知道的)替代方案,因此我認為沒有理由使用 TCPKeepAlive。

還是這樣嗎?使用安全TCPKeepAlive還是更好用ClientAliveInterval

我問這個是因為 digitaloceanTCPKeepAlive預設使用,如果存在漏洞,他們不會停止使用它嗎?

您不應該相信您在網際網路上閱讀的所有內容。:) 啟用沒有安全問題TCPKeepAlive。從來沒有這樣的問題。手冊中警告的意思是你不應該單獨sshd_config(5)依賴,因為攻擊者可以欺騙它來欺騙伺服器,使其認為連接仍然存在,而實際上它並不存在。相反,您應該與 一起使用TCPKeepAlive TCPKeepAlive ClientAliveInterval

您可以使用ClientAliveIntervalwithout TCPKeepAlive,但在絕大多數情況下,禁用TCPKeepAlive不會實現任何有用的目的。唯一的影響是ssh空閒時間超過您機器上的 TCP 超時時間(Linux 上預設為 2 小時)的連接將被關閉。這裡的所有都是它的。

引用自:https://unix.stackexchange.com/questions/208055