Ce post de 2008 dans ubuntuforums recommand de désactiver TCPKeepAlive
Désactiver les messages TCP KeepAlive. Ces messages sont spoofables et sont envoyés en dehors du canal crypté, et ClientAliveInterval est une alternative cryptée et non cryptable (donc je sais), donc je ne vois aucune raison d'utiliser TCPKeepAlive.
Est-ce toujours le cas? Est-il sécurisé d'utiliser TCPKeepAlive
ou est-il préférable d'utiliser ClientAliveInterval
?
Je le request car digitalocean utilise TCPKeepAlive
par défaut et s'il y a une vulnérabilité, ne cesserait-il pas de l'utiliser?
Vous ne devriez pas croire tout ce que vous lisez sur Internet. 🙂 Il n'y a pas de problème de security avec l'activation de TCPKeepAlive
. Il n'y a jamais eu un tel problème. La signification de l'avertissement dans le sshd_config(5)
est que vous ne devez pas countr sur TCPKeepAlive
seul , car un attaquant peut le tromper pour faire croire au server qu'il est toujours en vie alors qu'il ne l'est pas. Au contraire, vous devriez utiliser TCPKeepAlive
avec ClientAliveInterval
.
Vous pouvez utiliser TCPKeepAlive
sans TCPKeepAlive
, mais dans la grande majorité des cas, la désactivation de TCPKeepAlive
n'atteint aucun but utile. Le seul effet est que les connections ssh
inactives pendant plus de time que le timeout d'attente TCP sur votre machine (2 heures par défaut sous Linux) seront fermées. C'est tout ce qu'on peut en dire.