înregistrare Logare
Puncte:1
Ruth Edges avatar Server

Cum dezactivez algoritmii sshd?

drapel ge
Ruth Edges

Din software-ul meu de scanare a vulnerabilităților primesc acest semnal/mesaj

Următorii algoritmi slabi de schimb de chei sunt activați: 

  diffie-hellman-grup-schimb-sha1
  diffie-hellman-group1-sha1

Vreau să dezactivez acești doi algoritmi.

Am întrebat sshd_config...

[root@vm01 ~]# sshd -T | grep "\(cifre\|macs\|kexalgoritmi\)"
gssapikexalgoritmi gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
cifruri [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
macs [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
kexalgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecistdhp522-sha512, ecdhp52-sha22-ndhecist32-ndhec -sha2-nistp256,diffie-hellman-group-exchange-sha256
[root@vm01 ~]# ssh -Q kex
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-grup-schimb-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curba25519-sha256
[email protected]
gss-gex-sha1-
gss-group1-sha1-
gss-group14-sha1-
[root@vm01 ~]# sshd -T | grep kex
gssapikexalgoritmi gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
kexalgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecistdhp522-sha512, ecdhp52-sha22-ndhecist32-ndhec -sha2-nistp25

După cum puteți vedea din rezultat, clienții pot folosi acești algoritmi. Nu există nicio mențiune despre algoritmii ofensatori în sshd_config, chiar și în Cifre secțiune:

Cifruri [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

Orice ajutor este apreciat.

Rețineți că folosesc OpenSSH 7.4

sshd_config

Cifruri [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MAC-uri [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
KexAlgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecistdhp521-sha512, ecdhpdhp52-sha22-ndhecist32-nnd -sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1
2933
0 + 0
drapel in
Zoredache
Sunteți sigur că scanerul de vulnerabilități examinează de fapt serverul pe care îl credeți? Dacă aceasta este într-adevăr rezultatul dvs. pentru `sshd -T`, aș fi tentat să cred că scanerul lovește cumva un alt sistem. Probabil că aș dori să confirm că scanerul funcționează de fapt, urmărind un tcpdump pe serverul țintă în timp ce scanerul rulează. De asemenea, aș rula sshd în modul de depanare în prim-plan și apoi aș rula scanarea, astfel încât să puteți vedea rezultatul negocierilor detaliate.
2
Răspunde
Puncte:1
avatar Server
drapel cn
Johhnie

Din câte știu, OpenSHH acceptă dezactivarea anumitor algoritmi de schimb de chei sau cifruri (și acestea sunt de fapt două lucruri diferite), adăugând lista de algoritmi pe care doriți să îi dezactivați cu o cratimă/minus. -, deși mai frecvent este configurarea explicită a ceea ce doriți să permiteți.

Vedea: https://man.openbsd.org/sshd_config#KexAlgorithms

Dacă KexAlgorithms nu este setat în prezent, atunci serverul dvs. utilizează setările implicite. Puteți lăsa valorile implicite și dezactivați cei doi algoritmi de schimb de chei slabi ofensatoare cu:

# sshd_config
...
KexAlgorithms -diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha1

Sau puteți seta setări mai explicite puternice, cum ar fi (care pot întrerupe compatibilitatea cu clienții vechi):

# sshd_config
...
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Cifruri [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MAC-uri [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,umac-128 @openssh.com
0 + 0
Ruth Edges avatar
drapel ge
Ruth Edges
Când testez sshd_conf, primesc această eroare: /etc/ssh/sshd_config linia 146: Bad SSH2 KexAlgorithms '-diffie-hellman-group1-sha1,-diffie-hellman-group-exchange-sha1'.
0
Răspunde
drapel cn
Johhnie
Încercați să omiteți a doua cratimă și folosiți `KexAlgorithms -diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha1`
0
Răspunde
Ruth Edges avatar
drapel ge
Ruth Edges
Algoritm KEX neacceptat „-diffie-hellman-group1-sha1” /etc/ssh/sshd_config linia 142: Bad SSH2 KexAlgorithms 'curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-group16-hellman, diffie-sha251-hellman -sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha1'.
0
Răspunde
Ruth Edges avatar
drapel ge
Ruth Edges
Rețineți că am deja o secțiune KeyAlgorithms definită.
0
Răspunde
drapel cn
Johhnie
Din câte am înțeles, manualul este fie: enumerați tot ce doriți să permiteți (și toate celelalte vor fi dezactivate) sau enumerați tot ce doriți să eliminați din lista implicită, pornind lista cu un `-` și nu puteți faceți o combinație `+..., -...`
0
Răspunde
Ruth Edges avatar
drapel ge
Ruth Edges
Atunci de ce am primit aceste cifruri nedorite prezente în interogarea mea de sshd_config dacă nu au fost menționate niciodată în primul rând. Am precizat cifrurile dorite în secțiunile Cipher și KeyAlgortihms.
0
Răspunde
dave_thompson_085 avatar
drapel jp
dave_thompson_085
@RuthEdges: Sintaxa „-” pentru a elimina kexes, cifruri, etc din implicit a fost [doar în versiunea 7.5 up](https://www.openssh.com/txt/release-7.5) și Q spune 7.4.
0
Răspunde
John Greene avatar
drapel cn
John Greene
Dețin toate serverele și clienții în cauză și văd această problemă SIMILĂ: Dar doar unul dintre serverele mele este la acel v7.4, restul au trecut la v8. de asemenea, trebuie să fie nasol să folosești doar caracteristica minus (negativ), deoarece s-ar putea să primiți un algoritm prost să fie introdus în timpul următoarei upgrade OpenSSH.
0
Răspunde
Puncte:0
avatar Server
drapel in
Rainer

În versiunea mea de OpenSSH din sshd_config, nu este posibil să utilizați â+â sau â-â la început. Este posibil doar să faceți o listă de algoritmi utilizabili separați prin â,â

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.