/etc/ssh/moduliを修正した後もopensshパッケージを維持する必要がありますか?

/etc/ssh/moduliを修正した後もopensshパッケージを維持する必要がありますか?

特に、両方のシステムにOpenSSHをインストールしました。

  • GNU/Linux Debian 9.3 および OpenSSH バージョン1:7.4p1-10+deb9u2

  • Linux Mint 18.3 および OpenSSH バージョン1:7.2p2-4ubuntu2.4

この質問には、次のファイルがOpenSSHソースコードと共に配布されることを読んでいます。

/etc/ssh/moduli

おそらくパッケージで。弱いサイズを得るためにファイルを変更して保存およびopenssh-server/またはパッケージしないと、openssh-client次のバージョンの更新でファイルを上書きすることになると思いますか?

可能であれば、個々のファイルを次の場所に配置できます。保留中何とか?


私は次のことをしました。

  1. バックアップファイル:

    mv /etc/ssh/moduli /etc/ssh/moduli.bak
    
  2. 4095より小さいサイズをフィルタリングします。

    awk '$5 >= 4095' /etc/ssh/moduli.bak > /etc/ssh/moduli
    

答え1

これはオペレーティングシステムによって異なります。 Debianに似たシステム(「Ubuntuのような」)は、ファイルをどのように処理するかを尋ねます。

Configuration file `/etc/ssh/moduli'
 ==> Modified (by you or by a script) since installation.
 ==> Package distributor has shipped an updated version.
   What would you like to do about it ?  Your options are:
    Y or I  : install the package maintainer's version
    N or O  : keep your currently-installed version
      D     : show the differences between the versions
      Z     : start a shell to examine the situation
 The default action is to keep your current version.
*** moduli (Y/I/N/O/D/Z) [default=N] ?

答え2

RedHatシステムはこのファイルを設定としてマークし、次の操作を行いますnoreplace

$ cd
$ yumdownloader --source openssh
$ rpm -i openssh-7.4p1-13.el7_4.src.rpm
$ grep /moduli rpmbuild/SPECS/openssh.spec | head -1
%attr(0644,root,root) %config(noreplace) %{_sysconfdir}/ssh/moduli

したがって、ローカルの変更は破損しません。パッケージのアップデートはとしてインストールされ、/etc/ssh/moduli.rpmnew管理者はカスタムアップデートでそれを確認する必要があるかもしれません。

ただし、次の警告に注意してくださいssh-keygen(1)

 Screened DH groups may be installed in /etc/moduli.  It is important that
 this file contains moduli of a range of bit lengths and that both ends of
 a connection share common moduli.

関連情報