VNX: Qualsys Scan flagga QID 38739-föråldrad SSH kryptografiska inställningar (kan korrigeras av användaren)
Summary: VNX: Qualsys Scan flagga QID 38739-föråldrad SSH kryptografiska inställningar (kan korrigeras av användaren)
Symptoms
Qualsys-sökningen hämtar följande QID:
QID 38739-Föråldrad SSH kryptografi inställningar
Cause
Resolution
Det finns ett par möjliga orsaker till att den här QID kan flagga. Det bör finnas specifika skäl i genomsökningen som bör klargöra varför det kommer.
Den första orsak som kan flaggas beror på listan SSH Cipher. Som standard i vissa versioner av kod äldre arcfour-och Blowfish-chiffer finns i cipher-listan.
Så här kontrollerar och ändrar du den aktuella listan över krypterings listor:
1. su till root
2. Kör detta kommando:
grep-i cipher/etc/ssh/sshd_config
cipher AES128-CBC, 3DES-CBC, Blowfish-CBC, cast128-CBC, arcfour128, arcfour256, arcfour, aes192-CBC, AES256-CBC, AES128-based, aes192-/maskin, AES256-
land 3. vi filen och ändra cipher-listan i/etc/ssh/sshd_config så att bara de polybaserade cipherna förblir.
Du ska sluta med en Cipher-rad så här:
Ciphers AES128-enhet, aes192-enhet, AES256-enhet
eller liknande om du ändå vill ha stöd för CBC-baserade cipher:
cipher AES128-, AES256-, AES128-CBC, AES256-CBC
4. Spara filen och starta sedan om sshd
/sbin/service sshd starta
om sökningen tar ut en nyckel utbytes algoritm som inte stöds:
i allmänhet flaggas den här QID på en VNX på grund av att du har gett oss ett Diffie-Helman-Grupp1-SHA1 som en nyckelalgoritm för SSH. I VNX-VNX2-koden körs äldre versioner av OpenSSH som inte stöder ändring av listan för nyckel utbyte vid den aktuella tiden det inte går att ta bort Diffie-Helman-Grupp1-SHA1 och det finns inga planer på att uppgradera OpenSSH för att tillåta att support (KexAlgorithms-alternativet inte finns i vår OpenSSH-version. I nyare versioner av OpenSSH kan det ställas in i sshd_conf för att ange vilka nyckel utbytes algoritmer som kan användas). Diffie-Helman-Grupp1-SHA1 har inte några kända säkerhets problem i SSH för närvarande och det enda möjliga problemet är den mindre 1024-bitars nyckel storleken. Det finns ett känt säkerhets problem i TLS som gäller Diffie-Helman-Grupp1-SHA1 (CVE-2015-4000) men som redan har begränsats i httpd. conf genom att inaktivera export-chiffer och inte gälla för SSH.
För närvarande går det inte att inaktivera Diffie-Helman-Grupp1-SHA1 som en nyckel utbytes algoritm för SSH och det finns inga planer på att lägga till den funktionen. Det kan begränsas på klient sidan, men det finns inget sätt att inaktivera det på kontroll stationens SSH server.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |