Option sshd und -i unter OS X


0

Laut der Manpage auf sshd(8):

 -i      Specifies that sshd is being run from inetd(8).  sshd is normally
         not run from inetd because it needs to generate the server key
         before it can respond to the client, and this may take tens of
         seconds.  Clients would have to wait too long if the key was
         regenerated every time.  However, with small key sizes (e.g. 512)
         using sshd from inetd may be feasible.

Ich bin ein bisschen verwirrt, was ich mit der Option anfangen soll. Auf dem Mac, an dem ich arbeite, enthält der Apple Launchd ssh.plistdie Option. Aber Apple verwendet nicht inetd(8) und die Schlüssel sind bereits vorhanden.

Sollte ich die -iOption unter OS X verwenden?

Antworten:


1

Die Dateien auf der Festplatte sind die permanenten Host- Schlüssel, aber im Handbuch wird über die temporären Schlüsselaustauschschlüssel gesprochen , die verwendet werden, um die Geheimhaltung der Weiterleitung zu gewährleisten .

Beachten Sie, dass es sich in der Nachricht speziell um SSHv1 handelt, bei dem temporäre RSA-Schlüsselpaare verwendet wurden, die beim Start und stündlich neu generiert wurden. Moderne Systeme verwenden kein SSHv1 mehr, daher ist die Warnung nicht mehr relevant.

(SSHv2 verwendet stattdessen den DH-Schlüsselaustausch , bei dem für jeden Austausch ein neuer Schlüssel verwendet wird. Das Generieren der DH-Schlüsselpaare ist jedoch neben verschiedenen anderen Vorteilen wesentlich schneller .)


Ja, Sie sollten die Option trotzdem verwenden. Dies ist eine allgemeine Option für den Mechanismus zum Starten eines Netzwerkservers in der von inetd eingeführten und von launchd verwendeten Weise.

(Der Mechanismus, der manchmal als "Socket-Aktivierung" bezeichnet wird, kann auf jedem Unix-ähnlichen System und sogar unter Windows mit einigen Schwierigkeiten implementiert werden. Beispielsweise ist Linux "systemd" häufig auch so konfiguriert, dass sshd mit "-i" gestartet wird.)


Oh, ich verstehe. In Bezug auf die Schlüssel handelt die Manpage von kurzlebigen Schlüsseln. Vielleicht sollte die Manpage das explizit angeben. In Bezug auf die Startoptionen sollte in der Manpage möglicherweise nur ein "Start-Daemon" angezeigt werden, und nicht ein spezifischer Aufruf inetd(unter Ausschluss aller anderen Start-Daemons).
Jww
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.