Bezpečnostní tým mé organizace nám řekl, abychom deaktivovali slabé šifry, protože vydávají slabé klíče.
arcfour
arcfour128
arcfour256
Zkoušel jsem ale hledat tyto šifry v souborech ssh_config a sshd_config, ale našel jsem je okomentované.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Kde jinde bych měl zaškrtnout, abych zakázal tyto šifry z SSH?
Přijatá odpověď:
Pokud v ssh_config
nemáte nastavený explicitní seznam šifer pomocí Ciphers
klíčové slovo, pak výchozí hodnotu podle man 5 ssh_config
(na straně klienta) a man 5 sshd_config
(na straně serveru), je:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
Všimněte si přítomnosti šifer arcfour. Možná tedy budete muset explicitně nastavit přísnější hodnotu pro Ciphers
.
ssh -Q cipher
od klienta vám sdělí, která schémata může váš klient podporovat. Upozorňujeme, že tento seznam není ovlivněn seznamem šifer zadaným v ssh_config
. Odstranění šifry z ssh_config
neodstraní jej z výstupu ssh -Q cipher
. Dále pomocí ssh
pomocí -c
možnost explicitně zadat šifru přepíše omezený seznam šifer, který nastavíte v ssh_config
a případně vám umožní použít slabou šifru. Toto je funkce, která vám umožňuje používat váš ssh
klient pro komunikaci se zastaralými servery SSH, které nepodporují novější silnější šifry.
nmap --script ssh2-enum-algos -sV -p <port> <host>
vám řekne, která schémata váš server podporuje.