VNX：Qualsys スキャンフラグ QID 38739-非推奨 SSH 暗号化設定 (ユーザーが修正可能)

この QID には、いくつかの理由が考えられます。スキャンには、その理由を明確に示す具体的な理由が記載されている必要があります。

フラグを設定することができるのは、SSH cipher リストが原因です。コードの一部のバージョンでは、デフォルトでは、arcfour および blowfish 暗号が暗号リストに含まれています。

現在の暗号リストを確認および変更するには、次の手順を実行します。
1. su をルート2にします。
次のコマンドを実行します。
grep-i cipher/etc/ssh/sshd_config
cipher aes128-cbc、3des-cbc、blowfish-cbc、cast128-cbc、arcfour128、arcfour256、arcfour、aes192-cbc、aes256-aes128、ctr-aes192、ctr、aes256、ctr、/etc/ssh/、ctr
sshd_config の暗号リストを変更し、ベースの暗号のみを維持します。

次のような暗号回線で終了する必要があります。 cipher
aes128-ctr、aes192-ctr、aes256-ctr、または、次のようにして、

cbc ベースの暗号をサポートします。
ctr、aes256-ctr、aes128-cbc、aes256-cbc

4. ファイルを保存し、


スキャンがサポートされていないキー交換アルゴリズムをコール
すると、aes128 でこの qid にフラグを設定します。一般的には、のキー交換アルゴリズムとして diffie-hellman をサポートしているため、スキャンによってこの qid にフラグが付けら VNX SSHVNX/VNX2 コードでは、現在の時点でのキー交換アルゴリズムリストの変更をサポートしていない古いバージョンの OpenSSH を実行しています。これは、diffie-hellman を削除する方法がないため、そのサポートを許可するために OpenSSH をアップグレードする予定がない場合 (KexAlgorithms オプションは OpenSSH バージョンには存在しません)。OpenSSH の新しいバージョンでは、sshd_conf で設定して、どのキー交換アルゴリズムを使用するかを指定できます。Diffie-hellman man-group1-sha1 には SSH 現在の既知の脆弱性はありません。潜在的な問題は、より小さい1024ビットのキーサイズのみです。Diffie-hellman (CVE-2015-4000) に関して TLS には既知の脆弱性がありますが、エクスポート暗号を無効にして、SSH には適用されません。

その時点で、SSH のキー交換アルゴリズムとして diffie-hellman-の man-group1-sha1 を無効にする方法はありません。この機能を追加する計画はありません。クライアント側で制限することはできますが、control station の SSH サーバで無効にする方法はありません。