VNX: Qualsys Scan flaging QID 38739-deprecated SSH kryptografischen Einstellungen (Benutzer korrigierbar)

Es gibt verschiedene Gründe, warum dieser QID eine Kennzeichnung durchführen kann. Es sollten bestimmte Gründe im Scan aufgeführt sein, die erklären sollten, warum es aufgetreten ist.

Der erste Grund für die Kennzeichnung kann aufgrund der SSH Chiffrier Liste liegen. Standardmäßig befinden sich in einigen Versionen des Codes ältere ARCFOUR-und Blowfish-Chiffren in der Chiffre Liste. 

So überprüfen und ändern Sie die aktuelle Chiffrier Liste:
1. su zu root
2. Führen Sie diesen Befehl
aus: grep-i Cipher/etc/ssh/sshd_config
ciphers AES128-CBC, 3DES-CBC, Blowfish-CBC, Cast128-CBC, arcfour128, arcfour256, ARCFOUR, AES192-CBC, AES256-CBC, AES128-CTR, AES192-CTR, AES256-CTR
3. VI die Datei und ändern Sie die Verschlüsselungs Liste in/etc/ssh/sshd_config sodass nur die CTR-

basierten Chiffren bleiben Sie sollten am Ende eine Chiffre wie die folgende sein:
ciphers AES128-CTR, AES192-CTR, AES256-CTR

oder like this, wenn Sie die CBC-basierten Chiffren weiterhin unterstützen möchten:
ciphers AES128-CTR, AES256-CTR, AES128-CBC, AES256-CBC

4. speichern Sie die Datei und starten Sie dann den sshd
-/sbin/Service-sshd-Neustart neu,

Wenn der Scan einen nicht unterstützten Schlüssel-Exchange-Algorithmus ausgibt: inder
Regel wird dieser QID auf einem VNx aufgrund der Unterstützung von Diffie-Helman-group1-sha1 als Schlüssel-Exchange-Algorithmus SSH In VNx/VNX2-Code führen wir ältere Versionen von OpenSSH aus, die die Änderung der Schlüssel Exchange-algorithmusliste zum aktuellen Zeitpunkt nicht unterstützen. es gibt keine Möglichkeit, Diffie-Helman-group1-sha1 zu entfernen, und es gibt keine Pläne für das Upgrade von OpenSSH, um diese Unterstützung zu gewähren (die KexAlgorithms-Option ist in unserer OpenSSH-Version nicht vorhanden. In neueren Versionen von OpenSSH kann Sie in sshd_conf festgelegt werden, um anzugeben, welche Schlüsselaustauschalgorithmen verwendet werden können.) Diffie-Helman-group1-sha1 hat derzeit keine bekannten Schwachstellen in SSH und das einzige potenzielle Problem ist die kleinere 1024-Bit-Schlüsselgröße. Es gibt eine bekannte Schwachstelle in TLS bezüglich Diffie-Helman-group1-sha1 (CVE-2015-4000), die jedoch bereits in httpd. conf durch Deaktivieren von Export Chiffren verringert wird und nicht auf ssh angewendet wird.

Derzeit gibt es keine Möglichkeit, Diffie-Helman-group1-sha1 als Schlüssel-Exchange-Algorithmus für SSH zu deaktivieren, und es gibt keine Pläne, diese Funktion hinzuzufügen. Es kann auf der Client-Seite eingeschränkt werden, aber es gibt keine Möglichkeit, Sie auf dem SSH Server der Control Station zu deaktivieren.