VNX: Qualsys Scan flags QID 38739-przestarzałe ustawienia kryptograficzne SSH (prawidłowe dla użytkownika)
Summary: VNX: Qualsys Scan flags QID 38739-przestarzałe ustawienia kryptograficzne SSH (prawidłowe dla użytkownika)
Symptoms
Narzędzie Qualsys Scan wybiera następujące QID:
QID 38739-przestarzałe ustawienia kryptograficzne SSH
Cause
Resolution
Istnieje kilka możliwych przyczyn, jakie QID może oflagować. W celu sprawdzenia, czy w trakcie skanowania należy wymienić wszystkie możliwe przyczyny.
Pierwszą przyczyną, którą można oflagować, jest wynikająca z SSHowej listy szyfrowej. Domyślnie na liście szyfru znajdują się niektóre wersje kodu starszymi arcfour i Blowfish szyfrs.
Sprawdzanie i modyfikowanie bieżącej listy szyfru:
1. su do głównej
2. Uruchom to polecenie:
grep-i cipher/etc/ssh/sshd_config
szyfrów AES128-CBC, 3DES-CBC, Blowfish-CBC, cast128-CBC, arcfour128, arcfour256, arcfour, AES192-CBC, AES256-CBC, AES128-Rob, AES192-Rob, AES256-Rob
3. VI plik i Zmodyfikuj listę szyfru w/etc/ssh/sshd_config tak, aby pozostało tylko szyfry oparte na robu.
Należy zakończyć z linią szyfrową, taką jak:
cipher AES128-Rob, AES192-Rob, AES256-Rob
lub Lubię to zrobić, jeśli chcesz nadal obsługiwać wbudowane szyfry na CBC:
cipher AES128-Rob, AES256-Rob, AES128-CBC, AES256-CBC
4. Zapisz plik, a następnie uruchom ponownie SSHD/sbin/Service SSHD
QID
, jeśli skanowanie wyprowadzi nieobsługiwane algorytmy wymiany:
zazwyczaj takie Helman jest oznaczane na VNX ze względu na to, że firma Dell zapewni nam obsługę standardu Diffie--grupa1-SHA1 jako algorytmu wymiany klucza dla SSH. W VNX/VNX2 jest używany starszy system OpenSSH, który nie obsługuje modyfikowania listy algorytmów wymiany kluczy w chwili obecnej, nie można usunąć dodatku Diffie-Helman-grupa1-SHA1 i nie ma żadnych planów aktualizacji OpenSSH w celu zezwolenia na korzystanie z tej usługi (opcja KexAlgorithms nie występuje w naszym wersji OpenSSH. Nowsze wersje OpenSSH można ustawić w sshd_conf w celu określenia, jakie algorytmy wymiany kluczy mogą być używane). Diffie-Helman-grupa1-SHA1 nie ma obecnie żadnych znanych luk w zabezpieczeniach SSH a jedynym problemem może być mniejszy rozmiar 1024 bitów. Istnieje znana Luka w zabezpieczeniach protokołu TLS dotycząca Diffie-Helman-grupa1-SHA1 (CVE-2015-4000), ale jest już ograniczana w wyniku procedury http. conf poprzez wyłączenie szyfrów eksportu i nie dotyczy SSH.
W chwili obecnej nie jest możliwe wyłączenie funkcji Diffie-Helman-grupa1-SHA1 jako algorytmu wymiany klucza dla SSH i brak planów, aby je dodać. Może być ograniczony po stronach klienta, ale nie ma możliwości wyłączenia go na serwerze SSH stacji kontrolnej.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |