VNX: Qualsys varredura, sinalizando o QID 38739 — configurações de criptografia SSH obsoletas (usuário corrigível)
Summary: VNX: Qualsys varredura, sinalizando o QID 38739 — configurações de criptografia SSH obsoletas (usuário corrigível)
Symptoms
A verificação de Qualsys coleta os seguintes QID:
QID 38739 — configurações de criptografia SSH obsoletas
Cause
Resolution
Há algumas razões possíveis pelas quais esse QID pode ser sinalizado. Deve haver motivos específicos listados na varredura que devem esclarecer o motivo pelo qual o seu lançamento.
A primeira razão que pode ser sinalizada é devido à lista de SSH codificada. Por padrão, em algumas versões de código ArcFour e codificações Blow Fish mais antigas estão na lista de codificações.
Como verificar e modificar a lista de criptografia atual:
1. su à raiz
2. Execute este comando:
grep-i Cipher/etc/ssh/sshd_config
ciphers aes128-cbc, 3DES-CBC, Blow Fish-CBC, Cast128-CBC, arcfour128, arcfour256, ArcFour, aes192-cbc, aes256-CBC, AES128-CTR, aes192-CTR, aes256-CTR
3. vi o arquivo e modificar a lista de codificações no/etc/ssh/sshd_config, para que somente as cifras baseadas em CTR permaneçam
Você deve terminar com uma linha de codificação como esta:
ciphers aes128-CTR, aes192-CTR, aes256-CTR
ou como se você quiser que o ainda ofereça suporte a cifras baseadas em CBC:
codificações aes128-CTR, aes256-CTR, AES128-CBC, aes256-CBC
4. Salve o arquivo e, em seguida, reinicie sshd/sbin/service sshd
Restart
se a varredura chamar um algoritmo de troca de chaves não compatível:
geralmente, a análise sinalizará esse QID em um VNX devido ao suporte a Diffie-Helman-grupo1-SHA1 como um algoritmo de troca de chaves para SSH No código VNX/VNX2, estamos executando versões mais antigas do OpenSSH que não dão suporte à modificação da lista de algoritmos de troca de chaves no momento atual não existe nenhuma maneira de remover o Diffie-Helman-grupo1-SHA1, e não há planos para atualizar o OpenSSH para permitir que o suporte (a opção KexAlgorithms não existe em nossa versão da OpenSSH. Em versões mais recentes do OpenSSH, ela pode ser configurada em sshd_conf para especificar quais algoritmos de troca de chaves podem ser usados. O Diffie-Helman-grupo1-SHA1 não possui nenhuma vulnerabilidade conhecida no SSH atualmente e o único problema potencial é o tamanho menor de chave de 1024 bits. Há uma vulnerabilidade conhecida no TLS em relação a Diffie-Helman-grupo1-SHA1 (CVE-2015-4000), mas que já está sendo mitigado em httpd. conf, desativando as cifras de exportação e não se aplica a SSH.
No momento, não há como desativar o método Diffie-Helman-grupo1-SHA1 como um algoritmo de troca de chaves para SSH e não há planos para adicionar essa funcionalidade. Ela pode ser restrita no lado do cliente, mas não há como desabilitá-lo no servidor de SSH da Control Station.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |