VNX: Qualsys-skanning som flagger QID 38739-avverget SSH kryptografi innstillinger (bruker korrigert)
Summary: VNX: Qualsys-skanning som flagger QID 38739-avverget SSH kryptografi innstillinger (bruker korrigert)
Symptoms
Qualsys-skanning henter følgende QID:
QID 38739-avverget SSH kryptografi innstillinger
Cause
Resolution
Dette er en par mulige årsaker til at denne QID kan flagges. Det skal være bestemte årsaker som er oppført i skanningen som bør redegjøre for hvorfor de kom opp.
Det første årsak som kan flagges, skyldes SSH Cipher-listen. Som standard i enkelte versjoner av kode eldre arcfour og Blowfish-chiffreringer er i listen Cipher.
Slik kontrollerer og endrer du gjeldende Cipher-liste:
1. Su til roten
2. Kjør denne kommandoen:
grep-i Cipher/etc/ssh/sshd_config Cipher aes128-CBC, 3DES-CBC, Blowfish-CBC, cast128-CBC, arcfour128, arcfour256, arcfour, aes192, CBC-aes256, CBC-ress, aes128-sent, aes192-sent
3. vi skal legge igjen filen og endre listen over chiffrering i aes256 sshd_config slik at bare de sent-baserte chiffreringene er igjen.
Du må ende opp med en chifferkodestyrke som dette:
Cipher aes128-sent, aes192-sent, aes256-ress
eller liker dette hvis du fortsatt vil støtte CBC-baserte chiffreringer:
Cipher aes128-sent, aes256-ress, aes128-CBC, aes256-CBC
4. lagre filen, og start deretter sshd
/sbin/service sshd start på nytt
Hvis skanningen kaller opp en nøkkel utvekslings algoritme som ikke støttes:
vanligvis vil skanningen merke dette QID på en VNX fordi vi støtter Diffie-helman-group1-SHA1 som en Key Exchange-algoritme for SSH. I VNX/VNX2 kode som vi kjører eldre versjoner av OpenSSH som ikke støtter endring av Key Exchange-algoritmen på nå værende tidspunkt, er det ikke mulig å fjerne Diffie-helman-group1-SHA1, og det er ingen planer om å oppgradere OpenSSH for å tillate at denne støtten (KexAlgorithms-alternativet ikke eksisterer i vår OpenSSH-versjon. I nyere versjoner av OpenSSH kan den angis i sshd_conf for å angi hvilke nøkkel utvekslings algoritmer som kan brukes. Diffie-helman-group1-SHA1 har ingen kjente sikkerhets problemer i SSH for øyeblikket, og det eneste potensielle problemet er den mindre størrelsen på 1024-biters nøkkelen. Det finnes et kjent sikkerhets problem i TLS om Diffie-helman-group1-SHA1 (CVE-2015-4000), men som allerede er i bruk av httpd. Bruk ved deaktivering av eksport chiffreringer og gjelder ikke for SSH.
For øyeblikket er det ikke mulig å deaktivere Diffie-helman-group1-SHA1 som en Key Exchange-algoritme for SSH, og det er ingen planer som kan legge til denne funksjonaliteten. Det kan være begrenset på klients IDen, men det er ikke mulig å deaktivere den på kontroll stasjonens SSH server.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |