make this more sub :p
[ach-master.git] / src / practical_settings / ssh.tex
1 \subsubsection{OpenSSH}
2 \paragraph*{sshd_config}
3 \begin{lstlisting}[breaklines]
4         # ...
5
6         Protocol 2
7         PermitEmptyPasswords no
8         PermitRootLogin no
9         StrictModes yes
10         HostKey /etc/ssh/ssh_host_rsa_key
11         ServerKeyBits 4096
12         Ciphers aes256-gcm@openssh.com aes128-gcm@openssh.com aes256-ctr aes128-ctr
13         MACs umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160
14         KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
15 \end{lstlisting}
16
17 % XXX: curve25519-sha256@libssh.org only available upstream(!)
18 Note: Older linux systems won't support SHA2. PuTTY (Windows) does not support RIPE-MD160. Curve25519, AES-GCM and UMAC are only available upstream (OpenSSH 6.1). DSA host keys have been removed on purpose, the DSS standard does not support for DSA keys stronger than 1024bit
19 \footnote{\url{https://bugzilla.mindrot.org/show_bug.cgi?id=1647}} 
20 which is far below current standards (see section \ref{section:keylengths}). Legacy systems can use this configuration and simply omit unsupported ciphers, key exchange algorithms and MACs.
21 \\