이것우편 엽서2008년부터 우분투 포럼에서 권장된 대로 비활성화되었습니다.TCPKeepAlive
TCP KeepAlive 메시지를 비활성화합니다. 메시지는 스푸핑이 가능하고 암호화된 채널 외부로 전송되며 ClientAliveInterval은 암호화되고 검열할 수 없는(내가 아는 한) 대안이므로 TCPKeepAlive를 사용할 이유가 없습니다.
아직도 그런가요? 사용하는 것이 안전합니까 TCPKeepAlive, 아니면 더 좋습니까 ClientAliveInterval?
digitalocean에서는 TCPKeepAlive기본적으로 사용하고 있는데, 취약점이 있으면 사용을 중단하지 않을까요?
답변1
인터넷에서 읽은 모든 것을 믿어서는 안됩니다. :) 활성화해도 보안 문제는 없습니다 TCPKeepAlive. 그런 문제가 발생한 적은 없었습니다. 설명서의 경고는 sshd_config(5)의존해서는 안 된다는 의미입니다.TCPKeepAlive 홀로, 공격자가 서버를 속여 연결이 아직 살아 있다고 생각하도록 속일 수 있기 때문입니다. 실제로는 그렇지 않습니다. 대신에 다음을 사용해야 합니다.TCPKeepAlive ~와 함께 ClientAliveInterval.
ClientAliveInterval없이 사용할 수 있지만 TCPKeepAlive대부분의 경우 비활성화해도 TCPKeepAlive아무런 쓸모가 없습니다. 유일한 영향은 ssh머신의 TCP 제한 시간(Linux의 경우 기본 2시간)보다 오랫동안 유휴 상태인 연결이 닫히는 것입니다. 여기에 있는 모든 것이 그 것입니다.