src/practical_settings/ssh.tex

   1 \subsubsection{OpenSSH}
   2 \paragraph*{sshd_config}
   3 \begin{lstlisting}[breaklines]
   4         # ...
   5
   6         Protocol 2
   7         PermitEmptyPasswords no
   8         PermitRootLogin no
   9         StrictModes yes
  10         HostKey /etc/ssh/ssh_host_rsa_key
  11         ServerKeyBits 4096
  12         Ciphers aes256-gcm@openssh.com aes128-gcm@openssh.com aes256-ctr aes128-ctr
  13         MACs umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160
  14         KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
  15 \end{lstlisting}
  16
  17 % XXX: curve25519-sha256@libssh.org only available upstream(!)
  18 Note: Older linux systems won't support SHA2. PuTTY (Windows) does not support RIPE-MD160. Curve25519, AES-GCM and UMAC are only available upstream (OpenSSH 6.1). DSA host keys have been removed on purpose, the DSS standard does not support for DSA keys stronger than 1024bit
  19 \footnote{\url{https://bugzilla.mindrot.org/show_bug.cgi?id=1647}}
  20 which is far below current standards (see section \ref{section:keylengths}). Legacy systems can use this configuration and simply omit unsupported ciphers, key exchange algorithms and MACs.
  21 \\