Bezpečnostní tým mé organizace nám řekl, abychom deaktivovali slabé šifry, protože vydávají slabé klíče.
arcfour
arcfour128
arcfour256
Zkoušel jsem ale hledat tyto šifry v souborech ssh_config a sshd_config, ale našel jsem je okomentované.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Kde jinde bych měl zaškrtnout, abych zakázal tyto šifry z SSH?
Přijatá odpověď:
Pokud v ssh_config nemáte nastavený explicitní seznam šifer pomocí Ciphers klíčové slovo, pak výchozí hodnotu podle man 5 ssh_config (na straně klienta) a man 5 sshd_config (na straně serveru), je:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
Všimněte si přítomnosti šifer arcfour. Možná tedy budete muset explicitně nastavit přísnější hodnotu pro Ciphers .
ssh -Q cipher od klienta vám sdělí, která schémata může váš klient podporovat. Upozorňujeme, že tento seznam není ovlivněn seznamem šifer zadaným v ssh_config . Odstranění šifry z ssh_config neodstraní jej z výstupu ssh -Q cipher . Dále pomocí ssh pomocí -c možnost explicitně zadat šifru přepíše omezený seznam šifer, který nastavíte v ssh_config a případně vám umožní použít slabou šifru. Toto je funkce, která vám umožňuje používat váš ssh klient pro komunikaci se zastaralými servery SSH, které nepodporují novější silnější šifry.
nmap --script ssh2-enum-algos -sV -p <port> <host> vám řekne, která schémata váš server podporuje.