VNX: Qualsys Scan QID 38739 – zastaralé kryptografické nastavení SSH (uživatel je opravně)
Summary: VNX: Qualsys Scan QID 38739 – zastaralé kryptografické nastavení SSH (uživatel je opravně)
Symptoms
Qualsys Scan zabere následující QID:
QID 38739 – zastaralé kryptografické nastavení SSH
Cause
Resolution
Existuje několik možných důvodů, proč tento QID může být označen příznakem. V rámci kontroly by měly být uvedeny konkrétní důvody, které by měly objasnit, proč by se o to dostalo.
Prvním důvodem, který lze opatřit příznakem, je termín seznam šifry SSH. Ve výchozím nastavení jsou některé verze kódu staršího ARCFOUR a Blowfish šifr uvedeny v seznamu šifrování.
Kontrola a úprava aktuálního seznamu šifrování:
1. su ke kořeni
2. Spusťte tento příkaz:
grep-i cipher/etc/ssh/sshd_config
ciphers AES128-CBC, 3DES-CBC, Blowfish-CBC, cast128-CBC, arcfour128, arcfour256, ARCFOUR, AES192-CBC, AES256-CBC, AES128-centrum, AES192-centrum, AES256-Desk
3. VI soubor a upravte seznam šifrování v/etc/ssh/sshd_config takže zůstanou zachovány pouze šifry na bázi centra.
Je třeba provést šifrovací linku následujícím způsobem:
ciphers AES128-centrum, AES192-centrum, AES256-centrum
nebo podobným způsobem, pokud chcete stále podporovat CBC šifrování:
ciphers AES128-centrum, AES256, AES128-CBC, AES256-CBC
4. Uložte soubor, znovu spusťte sshd/sbin/Service sshd
restartujte,
Pokud kontrola zavolá nepodporovaný algoritmus výměny klíčů:
obecně je kontrola příznakem pro tento QID na VNX z důvodu podpory algoritmu Diffie-Helman-Group1-SHA1 jako klíče výměny klíčů pro SSH. V kódu VNX/VNX2 používáme starší verze OpenSSH, které nepodporují úpravy seznamu algoritmů výměny klíčů v současné době, neexistuje žádný způsob, jak odstranit algoritmus Diffie-Helman-Group1-SHA1 a neexistují žádné plány na upgrade OpenSSH, který tuto podporu podporuje (možnost KexAlgorithms v naší OpenSSH verzi neexistuje. V novějších verzích OpenSSH lze tuto možnost nastavit v sshd_conf a určit, které algoritmy výměny klíčů lze použít). Algoritmus Diffie-Helman-Group1-SHA1 nemá v současné době žádné známé chyby zabezpečení v SSH a jediný možný problém je menší 1024 bitových klíčů. V protokolu TLS je známá chyba zabezpečení týkající se algoritmu Diffie-Helman-Group1-SHA1 (CVE-2015-4000), která je již zmírněna v httpd. conf zakázáním exportních šifr a nevztahuje se na SSH.
V současné době neexistuje žádný postup, jak zakázat algoritmus Diffie-Helman-Group1-SHA1 v rámci výměny klíčů pro SSH a neexistují žádné plány na přidání těchto funkcí. Může být omezeno na straně klienta, ale neexistuje žádný prostředek k jeho deaktivaci na serveru SSH řídící stanice.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |