VNX: Qualsys 스캔 플래그 QID 38739-더 이상 사용 되지 않는 SSH 암호화 설정 (사용자 수정 가능)

이 QID에 플래그를 지정할 수 있는 몇 가지 이유가 있습니다. 스캔에 나열 되는 특정 이유는이를 통해 제공 되는 이유를 명확 하 게 설명 해야 합니다.

플래그를 지정할 수 있는 첫 번째 이유는 SSH 암호화 목록 때문입니다. 일부 코드 버전에서는 기본적으로 arcfour 및 blowfish 암호화가 암호화 목록에 있습니다. 

현재 암호화 목록을 확인 하 고 수정 하는 방법:
1. su-root
2. 다음 명령을 실행 합니다.
grep-i cipher/etc/ssh/sshd_config cipher
aes128-cbc, 3des-cbc-mac, blowfish-cbc-mac, cast128-cbc-mac, arcfour128, arcfour256, arcfour, aes192-cbc-mac, aes256-cbc-mac, aes128, ctr, aes192, ctr, aes256-ctr
sshd_config

3 다음과 같이 Cipher
aes128-ctr, aes192-ctr, aes256-ctr 또는 이와 같은 암호 줄을 사용 해야 합니다

. cbc 기반 암호화를 계속 해 서 지원 하려는 경우 다음을 수행 합니다.
암호 aes128-ctr, aes256-ctr, aes128-cbc-mac, aes256-cbc-mac

4. 스캔 시 지원 되지 않는 키 교환 알고리즘을 호출 하는 경우에는 파일을 저장 한 다음 다시 시작 합니다. 일반적



으로 SSH에 대 한 키 교환 알고리즘으로 pa를 지원 하기 때문에에서이 qid에 플래그를 지정 합니다. VNX VNX/VNX2 코드에서 현재 시간에 키 교환 알고리즘 목록을 수정 하는 것을 지원 하지 않는 이전 버전의 OpenSSH를 실행 하 고 있습니다 .이 경우, diffie-hellman-s s d-x 1을 제거할 수 있는 방법이 없으며,이 지원을 허용 하기 위해 OpenSSH 업그레이드 계획이 없습니다 (OpenSSH 버전에 KexAlgorithms 옵션이 없음). 최신 버전의 OpenSSH에서는 sshd_conf에서 설정 하 여 사용할 수 있는 키 교환 알고리즘을 지정할 수 있습니다. 1024 SSH diffie-hellman-s e s-s e s-s e s-s e s-s e s s-s e s s-s e s s-s e s s-s e s Diffie-hellman에는 diffie-hellman-s s-x 1-sha1 (CVE-2015-4000)에 대 한 알려진 취약점이 있지만,이 경우에는 내보내기 암호를 비활성화 하 고 SSH에는 적용 되지 않습니다.

현재 SSH에 대 한 키 교환 알고리즘으로 diffie-hellman-s s-s s-s 1을 해제 하는 방법이 없기 때문에 해당 기능을 추가할 계획이 없습니다. 이는 클라이언트 측에서 제한 될 수 있지만 제어 스테이션의 SSH 서버에서이를 비활성화할 수 있는 방법은 없습니다.