El equipo de seguridad de mi organización nos dijo que deshabilitemos los cifrados débiles debido a que emiten claves débiles.
arcfour
arcfour128
arcfour256
Pero intenté buscar estos cifrados en el archivo ssh_config y sshd_config pero los encontré comentados.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
¿Dónde más debería verificar para deshabilitar estos cifrados de SSH?
ssh
encryption
rɑːdʒɑ
fuente
fuente
/etc/ssh/sshd_config
y para el cliente SSH estará en/etc/ssh/ssh_config
. Desea buscar laCipher
línea en cada uno y, por ejemplo, acaba deCipher aes256-ctr
especificar. Luego reinicie SSH mediante/etc/init.d/sshd restart
o mediante el comando systemd equivalente.sshd_config
si realmente se preocupa por la seguridad SSH, de lo contrario puede ser todo un teatro de seguridad.ciphers
lista es solo una configuración de muchas para tener SSH implementado correctamente ... Protocolo, PermitRootLogin, AuthorizedKeysFile, PermitEmptyPasswords, IgnoreRhosts, PermitTunnel, etc. Puede confiar en su configuración predeterminada implementada en su distribución de Linux, peroIgnornance is bliss only up until you have a problem
Respuestas:
Si no tiene una lista explícita de cifrados configurados
ssh_config
con laCiphers
palabra clave, el valor predeterminado, de acuerdo conman 5 ssh_config
(lado del cliente) yman 5 sshd_config
(lado del servidor), es:Tenga en cuenta la presencia de las cifras de arco de cuatro. Por lo tanto, es posible que tenga que establecer explícitamente un valor más restrictivo para
Ciphers
.ssh -Q cipher
del cliente le dirá qué esquemas puede admitir su cliente. Tenga en cuenta que esta lista no se ve afectada por la lista de cifrados especificada enssh_config
. Eliminar un cifradossh_config
no lo eliminará de la salida dessh -Q cipher
. Además, el usossh
con la-c
opción de especificar explícitamente un cifrado anulará la lista restringida de cifrados que configuróssh_config
y posiblemente le permitirá usar un cifrado débil. Esta es una característica que le permite utilizar sussh
cliente para comunicarse con servidores SSH obsoletos que no admiten los cifrados más nuevos y más fuertes.nmap --script ssh2-enum-algos -sV -p <port> <host>
le dirá qué esquemas admite su servidor.fuente
ssh_config
es la configuración del lado del cliente, la configuración del lado del servidor essshd_config
, por favor intente eso. (También se llamaCiphers
allí.)ssh -Q
versiones anteriores. (por ejemplo, CentOS 6's openssh v5.3p1)Para deshabilitar RC4 y usar cifrados seguros en el servidor SSH, codifique lo siguiente en
/etc/ssh/sshd_config
O bien, si prefiere no dictar cifrados pero simplemente desea eliminar los cifrados inseguros, ejecute esto en la línea de comando (en modo sudo):
Puede verificar los cifrados utilizados actualmente por su servidor con:
Asegúrese de que su cliente ssh pueda usar estos cifrados, ejecute
para ver la lista
También puede indicarle a su cliente SSH que negocie solo cifrados seguros con servidores remotos. En
/etc/ssh/ssh_config
conjunto:Los fragmentos anteriores provienen de aquí
Para probar la configuración de su servidor, puede usar ssh-audit
fuente
El problema al especificar explícitamente una lista de cifrado es que debe agregar manualmente nuevos cifrados a medida que salen. En su lugar, simplemente enumere los cifrados que desea eliminar, anteponiendo la lista (no cada cifrado individual) con un carácter '-'. Entonces, en este caso, la línea Ciphers debería leer:
O si lo prefieres:
Desde la página de manual de sshd_config en la opción Ciphers (desde OpenSSH 7.5, lanzado el 2017-03-20):
Esto también se aplica a las opciones KexAlgorithms y MACs .
fuente
habilitar / deshabilitar el cifrado necesita agregarlo / eliminarlo en el archivo / etc / ssh / sshd_config Después de editar este archivo, el servicio debe recargarse
Luego, ejecutar este comando desde el cliente le dirá qué esquemas admiten
Para verificar si el cifrado arcfour está habilitado o no en el servidor, ejecute este comando
Para verificar si el cifrado arcfour128 está habilitado o no en el servidor, ejecute este comando
fuente
Cómo deshabilitar un cifrado ssh débil, 100% probado en Fedora 29. El problema: Nessus informa que mi servidor samba4 no utiliza cifrados fuertes aes256-cbc y aes128-cbc. Así que puse esas líneas en
/etc/ssh/sshd_config
Et voilà! .. todavía usa el cifrado cbc porque este comando funciona :(
Así que verifico el útil systemd y descubro que el servicio sshd está usando otro archivo para cifrados
Copia de seguridad del archivo por seguridad
Edítelo y elimine el cifrado cbc. Reiniciar el servicio
Y finalmente prueba, funciona bien ... cbc deshabilitado.
fuente