Zespół bezpieczeństwa mojej organizacji powiedział nam, abyśmy wyłączali słabe szyfry, ponieważ wydają słabe klucze.
arcfour
arcfour128
arcfour256
Ale próbowałem szukać tych szyfrów w plikach ssh_config i sshd_config, ale znalazłem je skomentowane.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Gdzie jeszcze powinienem sprawdzić, aby wyłączyć te szyfry z SSH?
ssh
encryption
rɑːdʒɑ
źródło
źródło
/etc/ssh/sshd_config
włączony, a dla klienta SSH będzie/etc/ssh/ssh_config
. Chcesz poszukaćCipher
linii w każdym z nich i na przykład właśnie jąCipher aes256-ctr
określiłeś. Następnie uruchom ponownie SSH za pomocą/etc/init.d/sshd restart
lub za pomocą równoważnego polecenia systemd.sshd_config
jeśli naprawdę zależy Ci na bezpieczeństwie SSH, w przeciwnym razie może to być cały teatr bezpieczeństwa.ciphers
lista jest tylko jednym z wielu ustawień dla konieczności SSH prawidłowo wdrożony ... Protokół PermitRootLogin, AuthorizedKeysFile, PermitEmptyPasswords, IgnoreRhosts, PermitTunnel, i tak dalej. Można polegać na ich domyślne ustawienia wprowadzone w swojej dystrybucji Linuksa, aleIgnornance is bliss only up until you have a problem
Odpowiedzi:
Jeśli nie masz jawnej listy szyfrów ustawionych
ssh_config
za pomocąCiphers
słowa kluczowego, wówczas wartością domyślną, wedługman 5 ssh_config
(po stronie klienta) iman 5 sshd_config
(po stronie serwera), jest:Zwróć uwagę na obecność szyfrów arcfour. Może być więc konieczne jawne ustawienie bardziej restrykcyjnej wartości dla
Ciphers
.ssh -Q cipher
od klienta powie Ci, jakie schematy może obsłużyć Twój klient. Zauważ, że na tę listę nie ma wpływu lista szyfrów określonych wssh_config
. Usunięcie szyfru zssh_config
nie spowoduje usunięcia go z wyjściassh -Q cipher
. Ponadto użyciessh
z-c
opcją jawnego określenia szyfru zastąpi ograniczoną listę szyfrów, które ustawiłeśssh_config
i prawdopodobnie pozwoli ci użyć słabego szyfru. Jest to funkcja, która pozwala używaćssh
klienta do komunikacji z przestarzałymi serwerami SSH, które nie obsługują nowszych silniejszych szyfrów.nmap --script ssh2-enum-algos -sV -p <port> <host>
powie Ci, jakie schematy obsługuje Twój serwer.źródło
ssh_config
jest konfiguracja po stronie klienta, konfiguracja po stronie serwerasshd_config
, proszę spróbować. (Nazywany równieżCiphers
tam.)ssh -Q
starszych wersji. (np. CentOS 6's openssh v5.3p1)Aby wyłączyć RC4 i korzystać z bezpiecznych szyfrów na serwerze SSH, należy na stałe zakodować następujące elementy
/etc/ssh/sshd_config
LUB jeśli wolisz nie dyktować szyfrów, a po prostu chcesz usunąć niepewne szyfry, uruchom to w wierszu poleceń (w trybie sudo):
Możesz sprawdzić szyfry aktualnie używane przez twój serwer za pomocą:
Upewnij się, że twój klient ssh może korzystać z tych szyfrów, uruchom
aby zobaczyć listę.
Możesz także poinstruować swojego klienta SSH, aby negocjował tylko bezpieczne szyfry ze zdalnymi serwerami. W
/etc/ssh/ssh_config
zestawie:Pochodzą stąd powyższe fragmenty
Aby przetestować ustawienia serwera, możesz użyć ssh-audit
źródło
Problem z jawnym określaniem listy szyfrów polega na tym, że musisz ręcznie dodawać nowe szyfry, gdy tylko się pojawią. Zamiast tego po prostu wypisz szyfry, które chcesz usunąć, poprzedzając listę (nie każdy pojedynczy szyfr) znakiem „-”. W takim przypadku wiersz Ciphers powinien brzmieć:
Lub jeśli wolisz:
Ze strony podręcznika sshd_config w opcji Ciphers (od OpenSSH 7.5, wydanej 2017-03-20):
Dotyczy to również opcji KexAlgorytmy i MAC .
źródło
włącz / wyłącz szyfr należy dodać / usunąć w pliku / etc / ssh / sshd_config Po edycji tego pliku usługa musi zostać ponownie załadowana
Następnie uruchomienie tego polecenia na kliencie powie ci, które schematy obsługują
Aby sprawdzić, czy szyfrowanie arcfour jest włączone na serwerze, uruchom to polecenie
Aby sprawdzić, czy szyfr arcfour128 jest włączony na serwerze, uruchom tę komendę
źródło
Jak wyłączyć słaby szyfr ssh, testowany w 100% na Fedorze 29. Problem: Nessus zgłasza, że mój serwer samba4 nie używa silnych szyfrów aes256-cbc i aes128-cbc. Więc wstawiłem te linie
/etc/ssh/sshd_config
Et voilà! .. nadal używa szyfru cbc, ponieważ to polecenie działa :(
Sprawdzam więc przydatny systemd i stwierdzam, że usługa sshd używa innego pliku dla szyfrów
Utwórz kopię zapasową pliku dla bezpieczeństwa
Edytuj go i usuń szyfr cbc. Uruchom ponownie usługę
I na koniec test, działa dobrze .. wyłączony.
źródło