VNX: Qualsys Scan QıD 38739-kullanım dışı SSH şifreleme ayarları (Kullanıcı düzeltilebilir)
Summary: VNX: Qualsys Scan QıD 38739-kullanım dışı SSH şifreleme ayarları (Kullanıcı düzeltilebilir)
Symptoms
Qualsys Scan aşağıdaki QıD 'yi seçer:
qıd 38739-kullanım DıŞı SSH şifreleme ayarları
Cause
Resolution
Bu QıD 'nin işaret eden birkaç olası neden vardır. Taramada listelenmesinin neden ortaya çıkacak belli bir sebepler bulunmalıdır.
Bayrağın ilk nedeni, SSH şifre listesi ile kaynaklanmaktadır. Varsayılan olarak, daha eski arcdört ve balıkaltktaki şifreye sahip bazı sürümlerinde şifre listesinde yer alır.
Geçerli şifre listesini kontrol etme ve değiştirme:
1. su-kök
2. Bu komutu çalıştırın:
grep-i şifre/etc/ssh/sshd_config
şifreye AES128-CBC, 3DES-CBC, balowbalık-CBC, Cast128-CBC, arcfour128, arcfour256, arcdört, aes192-
CBC
, AES256-CBC, AES128-Mrk, AES192-Mrk, AES256-Mrk, sshd_config Şu şekilde bir şifre satırı ile bitmelidir:
AES128-Mrk, AES192-Mrk, AES256-CTR
veya buna benzer şekilde, CBC tabanlı şifreleri desteklemeye devam etmek istiyorsanız:
Şifreleyici AES128-Mrk, AES256-Mrk, AES128-CBC, AES256-CBC
4. dosyayı kaydedin, ardından
tarama desteklenmeyen bir anahtar değişimi algoritmasını yerine çağırarsaSSHD/sbin/Service SSHD 'yi yeniden başlatın:
genellikle tarama, Diffie-Helman-grup1-SHA1 ' y i destekleyen bir VNX üzerindeki bu QID 'yi, SSH için bir anahtar değişim algoritması olarak işaret edecektir. VNX/VNX2 kodunda, geçerli sürede anahtar değişimi algoritması listesini değiştirmeyi desteklemeyen OpenSSH 'ın eski sürümlerini çalıştırıyoruz Diffie-Helman-grup1-SHA1 ' yı kaldırmanın bir yolu yoktur ve bu desteği sağlamak için OpenSSH yükseltme planı yoktur (OpenSSH sürümümüzkexalgorithm seçeneği mevcut değildir. OpenSSH 'nin daha yeni sürümlerinde, hangi anahtar değişim algoritmalarının kullanılabileceğini belirtmek için sshd_conf olarak ayarlanabilir. Diffie-Helman-grup1-SHA1, şu anda SSH 'de bilinen herhangi bir güvenlik açığına sahip değildir ve tek bir olası sorun daha küçük 1024 bit anahtar boyutudur. Diffie-Helman-grup1-SHA1 (CVE-2015-4000) ile ilgili TLS 'de bilinen bir güvenlik açığı bulunmaktadır ancak bu, ihracat şifrelemeleri devre dışı bırakılarak ve SSH için geçerli olmayan httpd. conf dosyasında zaten azaltılmakta.
Şu anda, SSH için anahtar değişim algoritması olarak Diffie-Helman-grup1-SHA1 ' yı devre dışı bırakmanın yolu yoktur ve bu işlevi eklemek için herhangi bir plan yoktur. İstemci tarafında kısıtlanabilir, ancak kontrol istasyonu SSH sunucusunda bunu devre dışı bırakmanın bir yolu yoktur.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |