SSH - Re-Keying

[sergej2018]

Moin zusammen,

habe neulich diese beiden Threads auf gemacht:

viewtopic.php?f=37&t=175328
viewtopic.php?f=37&t=167629

Dabei stieß ich drauf, dass auch openSSH einen passenden Parameter für Rekeying in seiner Konfiguration besitzt, nämlich:

Code: Alles auswählen

RekeyLimit 250M 1800

Bedeutet in dieser Form: Tausche den Sitzungsschlüssel, wenn entweder 250MB übertragen wurden, oder 1800s rum sind.

Nutzt das jemand von euch? Ich würd' auch gern prüfen, ob der Key wirklich getauscht wird, wie kann ich das tun?
Bei openVPN genügt es, nen Blick ins Log zu werfen. Das ist hier leider nicht der Fall...

[smutbert]

Wenn man genug Meldungen protokolliert, taucht es zweifelsohne auch im Log auf (standardmäßig wird ab "info" geloggt glaube ich, das dürften aber debug-Meldungen sein - dafür gibt es auch einen Eintrag in der Konfigurationsdatei).

Ohne weitere Änderungen an den Log-Einstellungen des Servers kannst du es am Client mitverfolgen. Ich haba es gerade mit dem Kopieren einer großen Datei mit

Code: Alles auswählen

scp -vv meine_Datei ssh_server:/tmp

ausprobiert und alle x MB kam ein großer Schwung Meldungen über die Neuaushandlung des Schlüssels.

Nutzt das jemand von euch?

Das tut doch jeder, der es nicht explizit abschaltet. Laut Dokumentation wird per default, abhängig vom Verschlüsselungsalgorithmus, der Schlüssel alle 1 - 4 GB gewechselt.

[sergej2018]

Moin,

stimmt, wenn ich das Loglevel auf "Debug" hoch drehe, sehe ich's auf dem Server in der auth.log. Sind dann jeweils 2 Zeilen.

Aber wo hast du die Info denn auf dem Client gefunden?

Edit: Interessanterweise wird beim Einsatz von sshfs NICHT rekeyed, wie es in der config angegeben ist...

[smutbert]

Auf dem Client einfach die Gesprächigkeit mit der ausreichenden Anzahl der Option "-v" erhöhen, so wie in meinem vorigen Beitrag im scp-Befehl oder mit ssh mit

Code: Alles auswählen

ssh -vv user@server

dann landen die Meldungen über die Standarfehlerausgabe auf der Konsole.

Sonst kann ich auch nicht mehr machen als im Netz danach zu suchen, besonders bei sshfs, das ich nicht nutze, aber das worüber ich gestolpert bin legt den Verdacht nahe, dass der Client die rekeying-Einstellungen des Servers überstimmen kann.

[mat6937]

Aber wo hast du die Info denn auf dem Client gefunden?

BTW: Mit der escape sequence "~R" kannst Du das rekeying auch erzwingen/anfordern und wenn vorher "~v" gesetzt, auch anzeigen lassen:

Code: Alles auswählen

:~ % ~?
Supported escape sequences:
 ~.   - terminate connection (and any multiplexed sessions)
 ~B   - send a BREAK to the remote system
 ~C   - open a command line
 ~R   - request rekey
 ~V/v - decrease/increase verbosity (LogLevel)
 ~^Z  - suspend ssh
 ~#   - list forwarded connections
 ~&   - background ssh (when waiting for connections to terminate)
 ~?   - this message
 ~~   - send the escape character by typing it twice
(Note that escapes are only recognized immediately after newline.)
debug2: channel 0: written 506 to efd 6

EDIT:

Dafür sollte:

Code: Alles auswählen

EscapeChar ~

konfiguriert sein.