Регистрация Войти
Рейтинг:1
Ruth Edges avatar Server

Как отключить алгоритмы sshd?

флаг ge
Ruth Edges

Из моего программного обеспечения для сканирования уязвимостей я получаю этот флаг/сообщение

Включены следующие слабые алгоритмы обмена ключами: 

  диффи-хеллман-группа-обмен-sha1
  диффи-хеллман-group1-sha1

Я хочу отключить эти два алгоритма.

Я запросил sshd_config...

[root@vm01 ~]# sshd -T | grep "\(шифры\|macs\|кексалгоритмы\)"
gssapikexалгоритмы gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
шифры [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
macs [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
kexalgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh -sha2-nistp256, диффи-хеллман-группа-обмен-sha256
[root@vm01 ~]# ssh -Q kex
диффи-хеллман-group1-sha1
диффи-хеллман-group14-sha1
диффи-хеллман-group14-sha256
диффи-хеллман-group16-sha512
Диффи-Хеллман-group18-sha512
диффи-хеллман-группа-обмен-sha1
Диффи-Хеллман-группа-обмен-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
кривая25519-sha256
кривая[email protected]
gss-gex-sha1-
gss-group1-sha1-
gss-group14-sha1-
[root@vm01 ~]# sshd -T | grep кекс
gssapikexалгоритмы gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
kexalgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh -sha2-nistp25

Как видно из вывода, клиенты могут использовать эти алгоритмы. В sshd_config нет упоминания об алгоритмах нарушения, даже в Шифры раздел:

Шифры [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

Любая помощь приветствуется.

Примечание. Я использую OpenSSH 7.4.

sshd_config

Шифры [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MAC-адреса [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
KexAlgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh -sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1
2933
0 + 0
флаг in
Zoredache
Вы уверены, что сканер уязвимостей действительно проверяет сервер, которым вы его считаете? Если это действительно ваш вывод для `sshd -T`, у меня возникнет соблазн поверить, что сканер каким-то образом поражает другую систему. Я, вероятно, хотел бы убедиться, что сканер действительно работает, просматривая tcpdump на целевом сервере во время работы сканера. Я бы также, возможно, запустил sshd в режиме отладки на переднем плане, а затем запустил сканирование, чтобы вы могли увидеть подробный вывод согласования.
2
Ответить
Рейтинг:1
avatar Server
флаг cn
Johhnie

Насколько я знаю, OpenSHH поддерживает отключение определенных алгоритмов обмена ключами или шифров (и это на самом деле две разные вещи), добавляя перед списком алгоритмов, которые вы хотите отключить, дефис/минус -, хотя более распространенным является явное указание того, что вы хотите разрешить.

Видеть: https://man.openbsd.org/sshd_config#KexAlgorithms

Если KexAlgorithms в настоящее время не установлен, ваш сервер использует настройки по умолчанию. Вы можете оставить значения по умолчанию и отключить эти два оскорбительных алгоритма обмена слабыми ключами с помощью:

# sshd_config
...
KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1

Или вы можете установить более явные сильные параметры, такие как (которые могут нарушить обратную совместимость со старыми клиентами):

# sshd_config
...
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Шифры [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MAC-адреса [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,umac-128 @openssh.com
0 + 0
Ruth Edges avatar
флаг ge
Ruth Edges
Когда я тестирую sshd_conf, я получаю эту ошибку: /etc/ssh/sshd_config строка 146: Bad SSH2 KexAlgorithms '-diffie-hellman-group1-sha1,-diffie-hellman-group-exchange-sha1'.
0
Ответить
флаг cn
Johhnie
Попробуйте опустить второй дефис и используйте KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1.
0
Ответить
Ruth Edges avatar
флаг ge
Ruth Edges
Неподдерживаемый алгоритм KEX "-diffie-hellman-group1-sha1" /etc/ssh/sshd_config строка 142: Bad SSH2 KexAlgorithms 'curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh -sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1'.
0
Ответить
Ruth Edges avatar
флаг ge
Ruth Edges
Обратите внимание, что у меня уже есть определенный раздел KeyAlgorithms.
0
Ответить
флаг cn
Johhnie
Насколько я понимаю руководство, это либо: перечислите все, что вы хотите разрешить (и все остальные будут отключены), либо перечислите все, что вы хотите удалить из списка по умолчанию, начав список с `-`, и вы не можете сделать комбинацию `+..., -...`
0
Ответить
Ruth Edges avatar
флаг ge
Ruth Edges
Так почему же тогда я получаю эти нежелательные шифры в моем запросе sshd_config, если они никогда не упоминались в первую очередь. Я указал желаемые шифры в разделах cipher и KeyAlgortihms.
0
Ответить
dave_thompson_085 avatar
флаг jp
dave_thompson_085
@RuthEdges: синтаксис «-» для удаления kexes, шифров и т. Д. По умолчанию был [только в версии 7.5 и выше] (https://www.openssh.com/txt/release-7.5), а Q говорит 7.4.
0
Ответить
John Greene avatar
флаг cn
John Greene
Я владею всеми серверами и клиентами, о которых идет речь, и вижу эту ПОХОЖУ проблему: но только один из моих серверов имеет версию 7.4, остальные - версию 8. также должно быть отстойно использовать только минусовую (отрицательную) функцию, потому что вы можете получить дрянной алгоритм, представленный во время следующего обновления OpenSSH.
0
Ответить
Рейтинг:0
avatar Server
флаг in
Rainer

В моей версии OpenSSH в sshd_config невозможно использовать «+» или «-» в начале. Можно только составить список используемых алгоритмов, разделенных символами

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.