Ssh
sshd_config TPCKeepAlive 是否仍在使用未加密的通道,因此易受攻擊
這篇2008 年在 ubuntuforums 上的文章建議禁用
TCPKeepAlive
禁用 TCP KeepAlive 消息。這些消息是可欺騙的,並在加密通道之外發送,而 ClientAliveInterval 是一種加密的、不可欺騙的(我知道的)替代方案,因此我認為沒有理由使用 TCPKeepAlive。
還是這樣嗎?使用安全
TCPKeepAlive
還是更好用ClientAliveInterval
?我問這個是因為 digitalocean
TCPKeepAlive
預設使用,如果存在漏洞,他們不會停止使用它嗎?
您不應該相信您在網際網路上閱讀的所有內容。:) 啟用沒有安全問題
TCPKeepAlive
。從來沒有這樣的問題。手冊中警告的意思是你不應該單獨sshd_config(5)
依賴,因為攻擊者可以欺騙它來欺騙伺服器,使其認為連接仍然存在,而實際上它並不存在。相反,您應該與 一起使用。TCPKeepAlive
TCPKeepAlive
ClientAliveInterval
您可以使用
ClientAliveInterval
withoutTCPKeepAlive
,但在絕大多數情況下,禁用TCPKeepAlive
不會實現任何有用的目的。唯一的影響是ssh
空閒時間超過您機器上的 TCP 超時時間(Linux 上預設為 2 小時)的連接將被關閉。這裡的所有都是它的。