VNX: Qualsys Scan markering QID 38739-frarådet SSH kryptografiske indstillinger (bruger korrigeret)

Der er et par mulige årsager til, at denne QID kan mærke. Der bør være angivet de årsager, der er anført i scanningen, og du skal klarlægge det, hvorfor det kommer op.

Den første årsag, der kan markeres på grund af SSH cipher-listen. Som standard på visse versioner af kode gamle ArcFour-og Blowfish-krypteringer er cipher-listen. 

Sådan kontrolleres og ændres den aktuelle krypterings liste:
1. sø til roden
2. Kør denne kommando:
GREP-i cipher/etc/ssh/sshd_config
-cipher aes128-CBC, 3DES-CBC, Blowfish-CBC, Cast128-CBC, arcfour128, arcfour256, ArcFour, aes192-CBC, AES256-CBC, aes128-cent, aes192-cent, AES256-
3. vi filen og Rediger krypterings listen i/etc/ssh/sshd_config så kun CTR-baseret cipher forbliver.

Du bør ende med en krypterings linje som denne:
kryptering af aes128-CTR, aes192-ress, AES256-CTR

eller lignende, hvis du stadig vil understøtte CBC-baserede krypteringer:
cipher aes128-CTR, AES256-ress, aes128-CBC, AES256-CBC

4. Gem filen, og genstart sshd/sbin/service-
genstart,

hvis scanningen foretager en ikke-understøttet nøgle udvekslings algoritme:
Generelt vil scanningen markere denne sshd på en VNX, der er grundet en nøgle udvekslings algoritme for SSH. I VNX/VNX2-kode kører ældre versioner af OpenSSH, der ikke understøtter redigering af nøgle udvekslings algoritme listen på nuværende tidspunkt, at Diffie-Helman-Group1-SHA1 ikke kan fjernes, og der ikke er planer om at opgradere OpenSSH, så Support (KexAlgorithms-indstillingen ikke findes i vores OpenSSH-version. I nyere versioner af OpenSSH kan den indstilles i sshd_conf for at angive, hvilke nøgleudvekslingsalgoritmer der kan bruges. Diffie-Helman-Group1-SHA1 har ikke nogen kendte sårbarheder i SSH, og det eneste potentielle problem er mindre end 1024-tastens størrelse. Der er en kendt svaghed i TLS mht. Diffie-Helman-Group1-SHA1 (CVE-2015-4000), men som allerede er blevet formindsket i en http. conf med deaktivering af eksport krypteringer og gælder ikke for SSH.

På det tidspunkt er der ingen måde at deaktivere Diffie-Helman-Group1-SHA1 som en nøgle udvekslings algoritme for SSH og der er ingen planer om at tilføje den pågældende funktionalitet. Det kan være begrænset på klientsiden, men der er ingen måde at deaktivere den på kontrol stationens SSH-server.