VNX: Qualsys scan vlag QID 38739-afgeschafte SSH cryptografische instellingen (op te lossen door gebruiker)
Summary: VNX: Qualsys scan vlag QID 38739-afgeschafte SSH cryptografische instellingen (op te lossen door gebruiker)
Symptoms
Qualsys scan ophaalt de volgende QID:
QID 38739-Afgeschafte SSH cryptografische instellingen
Cause
Resolution
Er zijn een paar mogelijke redenen waarom deze QID kan vlag toevoegen. Er moeten specifieke redenen zijn die in de scan moeten worden vermeld.
De eerste reden waarom u kunt markeren is het gevolg van de SSH coderings lijst. In sommige versies van code zijn oudere Arcfour-en Blowfish-codering standaard in de coderings lijst staan.
De huidige coderings lijst controleren en wijzigen:
1. su bij root
2. Voer de volgende opdracht uit:
grep-i cipher/etc/ssh/sshd_config
ciphers aes128-CBC, 3DES-CBC, blowfish-cbc, CAST128-CBC, arcfour128, arcfour256, arcfour, aes192-CBC, aes256-CBC, aes128-afd, aes192------, aes256-CBC,/etc/ssh/-,-module,-afd
. sshd_config
VI. U moet het volgende doen:
ciphers aes128-plaats, aes192-plaats, aes256-plaats
of als u op CBC gebaseerde coderingsproducten nog steeds wilt ondersteunen:
ciphers aes128-afdeling, aes256-post, aes128-CBC, aes256-CBC
4. Sla het bestand op en start sshd/sbin/service sshd opnieuw op
als de scan een niet-ondersteund sleutel uitwisselings algoritme aanroept.
de scan zal deze QID op een VNX laten oplopen vanwege de ondersteuning van Diffie-Helman-groep1-SHA1 als een sleutel uitwisselings algoritme voor SSH. In VNX-VNX2-code worden oudere versies van OpenSSH uitgevoerd die geen ondersteuning bieden voor het wijzigen van de lijst met sleuteluitwisseling op de huidige tijd. het is niet mogelijk om Diffie-Helman-groep1-SHA1 te verwijderen en er zijn geen plannen om OpenSSH te upgraden om die ondersteuning toe te staan (de optie KexAlgorithms komt niet voor in onze OpenSSH versie. In nieuwere versies van OpenSSH kunt u deze instellen in sshd_conf om aan te geven welke sleutel uitwisselings algoritmen kunnen worden gebruikt. Diffie-Helman-groep1-SHA1 heeft momenteel geen bekende beveiligingslekken in SSH en het enige mogelijke probleem is de kleinere 1024-bits sleutelgrootte. Er is een bekend beveiligingslek in TLS met Diffie-Helman-groep1-SHA1 (CVE-2015-4000), maar dit wordt al beperkt in httpd. conf door export codering uit te schakelen en is niet van toepassing op SSH.
Op het moment is het niet mogelijk om Diffie-Helman-groep1-SHA1 uit te schakelen als een sleutel uitwisselings algoritme voor SSH en er zijn geen plannen om die functionaliteit toe te voegen. Het kan worden beperkt op de client, maar er is geen manier om deze uit te schakelen op de SSH server van het besturings station.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |