A equipe de segurança da minha organização nos disse para desativar as cifras fracas porque elas emitem chaves fracas.
arcfour
arcfour128
arcfour256
Mas tentei procurar essas cifras nos arquivos ssh_config e sshd_config, mas as encontrei comentadas.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Onde mais devo verificar para desativar essas cifras do SSH?
ssh
encryption
rɑːdʒɑ
fonte
fonte
/etc/ssh/sshd_config
e para o cliente SSH que será no/etc/ssh/ssh_config
. Você deseja procurar aCipher
linha em cada uma e, por exemplo, acabou deCipher aes256-ctr
especificar. Em seguida, reinicie o SSH via/etc/init.d/sshd restart
ou através do comando systemd equivalente.sshd_config
se realmente se preocupa com a segurança SSH, caso contrário, pode ser todo o teatro de segurança.ciphers
lista é apenas uma das muitas para que o SSH seja implementado corretamente ... Protocolo, PermitRootLogin, AuthorizedKeysFile, PermitEmptyPasswords, IgnoreRhosts, PermitTunnel e assim por diante. Você pode confiar nas configurações padrão conforme implementadas na sua distribuição Linux, masIgnornance is bliss only up until you have a problem
Respostas:
Se você não possui uma lista explícita de cifras configuradas
ssh_config
usando aCiphers
palavra - chave, o valor padrão, de acordo comman 5 ssh_config
(lado do cliente) eman 5 sshd_config
(lado do servidor), é:Observe a presença das quatro cifras do arco. Portanto, talvez você precise definir explicitamente um valor mais restritivo para
Ciphers
.ssh -Q cipher
do cliente informará quais esquemas seu cliente pode oferecer suporte. Observe que esta lista não é afetada pela lista de cifras especificada emssh_config
. Remover uma cifra dessh_config
não a removerá da saída dessh -Q cipher
. Além disso, o usossh
da-c
opção para especificar explicitamente uma cifra substituirá a lista restrita de cifras configuradasssh_config
e, possivelmente, permitirá que você use uma cifra fraca. Esse é um recurso que permite que você use seussh
cliente para se comunicar com servidores SSH obsoletos que não suportam as cifras mais novas e mais fortes.nmap --script ssh2-enum-algos -sV -p <port> <host>
lhe dirá quais esquemas seu servidor suporta.fonte
ssh_config
é a configuração do lado do cliente, a configuração do lado do servidor ésshd_config
, por favor, tente isso. (É também chamado deCiphers
lá.)ssh -Q
nas versões mais antigas. (por exemplo, openssh do CentOS 6 v5.3p1)Para desativar o RC4 e usar cifras seguras no servidor SSH, codifique o seguinte em
/etc/ssh/sshd_config
OU se você preferir não ditar cifras, mas apenas desejar remover cifras inseguras, execute-o na linha de comando (no modo sudo):
Você pode verificar as cifras usadas atualmente pelo seu servidor com:
Verifique se o seu cliente ssh pode usar essas cifras, execute
para ver a lista.
Você também pode instruir seu cliente SSH a negociar apenas cifras seguras com servidores remotos. Em
/etc/ssh/ssh_config
conjunto:Os snippets acima vêm daqui
Para testar as configurações do servidor, você pode usar o ssh-audit
fonte
O problema com a especificação explícita de uma lista de cifras é que você deve adicionar manualmente novas cifras à medida que elas saem. Em vez disso, basta listar as cifras que você deseja remover, acrescentando a lista (não cada cifra individual) com um caractere '-'. Portanto, neste caso, a linha Ciphers deve ler:
Ou se você preferir:
A partir da página man sshd_config no Cifras opção (desde OpenSSH 7.5, lançado 2017/03/20):
Isso também se aplica às opções KexAlgorithms e MACs .
fonte
ativar / desativar a cifra precisa adicionar / remover no arquivo / etc / ssh / sshd_config Após editar este arquivo, o serviço deve ser recarregado
Em seguida, a execução deste comando a partir do cliente informará quais esquemas suportam
Para verificar se a arcfour cipher está ativada ou não no servidor, execute este comando
Para verificar se a cifra arcfour128 está ativada ou não no servidor, execute este comando
fonte
Como desativar uma cifra ssh fraca, 100% funcionando testado no Fedora 29. O problema: o Nessus relata que meu servidor samba4 não usa cifras não fortes aes256-cbc e aes128-cbc. Então eu coloquei essas linhas
/etc/ssh/sshd_config
Et voilà! .. ainda usa a cifra cbc porque este comando funciona :(
Portanto, verifico o útil systemd e descubro que o serviço sshd está usando outro arquivo para cifras
Faça backup do arquivo por segurança
Edite-o e remova a cifra cbc. Reinicie o serviço
E, finalmente, teste, funciona bem .. cbc desativado.
fonte