Das Sicherheitsteam meiner Organisation hat uns angewiesen, schwache Chiffren zu deaktivieren, da sie schwache Schlüssel ausgeben.
arcfour
arcfour128
arcfour256
Aber ich habe versucht, nach diesen Chiffren in den Dateien ssh_config und sshd_config zu suchen, fand sie aber kommentiert.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Wo sollte ich sonst nachsehen, um diese Chiffren von SSH zu deaktivieren?
Akzeptierte Antwort:
Wenn Sie keine explizite Liste von Chiffren in ssh_config festgelegt haben unter Verwendung der Ciphers Schlüsselwort, dann der Standardwert gemäß man 5 ssh_config (clientseitig) und man 5 sshd_config (serverseitig) ist:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
Beachten Sie das Vorhandensein der arcfour-Chiffren. Daher müssen Sie möglicherweise explizit einen restriktiveren Wert für Ciphers festlegen .
ssh -Q cipher vom Kunden wird Ihnen sagen, welche Systeme Ihr Kunde unterstützen kann. Beachten Sie, dass diese Liste nicht von der Liste der in ssh_config angegebenen Chiffren beeinflusst wird . Entfernen einer Chiffre aus ssh_config wird es nicht aus der Ausgabe von ssh -Q cipher entfernen . Außerdem mit ssh mit dem -c Option zur expliziten Angabe einer Chiffre überschreibt die eingeschränkte Liste von Chiffren, die Sie in ssh_config festgelegt haben und erlauben Ihnen möglicherweise, eine schwache Chiffre zu verwenden. Dies ist eine Funktion, mit der Sie Ihren ssh verwenden können Client, um mit veralteten SSH-Servern zu kommunizieren, die die neueren stärkeren Verschlüsselungen nicht unterstützen.
nmap --script ssh2-enum-algos -sV -p <port> <host> wird Ihnen sagen, welche Schemata Ihr Server unterstützt.