VNX Qualsys escaneo marcando QID 38739-obsoleted SSH configuración criptográfica (que puede corregir el usuario)
Summary: VNX Qualsys escaneo marcando QID 38739-obsoleted SSH configuración criptográfica (que puede corregir el usuario)
Symptoms
El escaneo de Qualsys toma el siguiente QID:
QID 38739: configuración criptográfica ssh obsoleta
Cause
Resolution
Hay algunas razones posibles que puede marcar este QID. Debe haber motivos específicos que se detallan en el análisis que deben aclarar el motivo de su llegada.
El primer motivo que puede marcar se debe a la lista de cifrado de SSH. De manera predeterminada, en algunas versiones de código anteriores Arcfour y los cifrados de Blowfish se encuentran en la lista de cifrado.
Cómo comprobar y modificar la lista de cifrado actual:
1. su a raíz
2. Ejecute este comando:
grep-i Cipher/etc/ssh/sshd_config
ciphers AES128-CBC, 3DES-CBC, Blowfish-CBC, Cast128-CBC, arcfour128, arcfour256, Arcfour, aes192-CBC, AES256-CBC, AES128-Ctr, aes192-Ctr, AES256-CTR
3. VI el archivo y modifique la lista de cifrado en/etc/ssh/sshd_config, de modo que solo se mantengan los cifrados
Debe terminar con una línea de cifrado de la siguiente manera:
ciphers AES128-Ctr, aes192-Ctr, AES256-CTR
o like this si desea admitir los cifrados basados en CBC:
ciphers AES128-Ctr, AES256-Ctr, AES128-CBC, AES256-CBC
4. Guarde el archivo y, a continuación, reinicie sshd
/sbin/Service sshd restart
si el análisis llama un algoritmo de intercambio de claves no admitido: por
lo general, el análisis marcará este QID en un VNX debido a que es compatible con Diffie-Helman-Grupo1-SHA1 como un algoritmo de intercambio SSH En el código de VNX/VNX2, ejecutamos versiones anteriores de OpenSSH que no son compatibles con la modificación de la lista de algoritmos de intercambio de claves en el momento actual no hay manera de eliminar Diffie-Helman-Grupo1-SHA1 y no hay planes para actualizar OpenSSH a fin de permitir que el soporte (la opción KexAlgorithms no exista en nuestra versión de OpenSSH. En las versiones más recientes de OpenSSH, se puede configurar en sshd_conf para especificar qué algoritmos de intercambio de claves se pueden usar). Diffie-Helman-Grupo1-SHA1 no tiene ninguna vulnerabilidad conocida en el SSH actualmente y el único problema potencial es el tamaño de la clave de 1024 bits más pequeño. Existe una vulnerabilidad conocida en el protocolo TLS relacionada con Diffie-Helman-Grupo1-SHA1 (CVE-2015-4000), pero que ya se ha reducido en httpd. conf mediante la desactivación de los cifrados de exportación y no se aplica a SSH.
En el momento, no hay manera de deshabilitar Diffie-Helman-Grupo1-SHA1 como un algoritmo de intercambio de claves para SSH y no hay planes para agregar esa funcionalidad. Puede restringirse en el lado del cliente, pero no hay manera de deshabilitarlo en el servidor SSH de la control Station.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |