VNX: Qualsys-tarkistuksen liputus QID 38739 - Vanhentunut SSH-salausasetukset (käyttäjän korjattavissa)
Summary: VNX: Qualsys-tarkistuksen liputus QID 38739 - Vanhentunut SSH-salausasetukset (käyttäjän korjattavissa)
Symptoms
Qualsys-skannaus poimii seuraavat QID:t:
QID 38739 - Vanhentuneet SSH-salausasetukset
Cause
Resolution
On olemassa pari mahdollista syytä, miksi tämä QID voi merkitä. Skannauksessa pitäisi olla erityisiä syitä, joiden pitäisi selventää, miksi se tulee esiin.
Ensimmäinen syy, miksi lippu voidaan merkitä, johtuu SSH-salakirjoitusluettelosta. Oletusarvoisesti joissakin versioissa koodi vanhempi arcfour ja blowfish salakirjoitukset ovat salakirjoitusluettelossa.
Nykyisen salakirjoitusluettelon tarkistaminen ja muokkaaminen:
1. su juureen
2. Suorita tämä komento:
grep -i cipher /etc/ssh/sshd_config
Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,aes128-ctr,aes192-ctr,aes256-ctr
3. vi tiedosto ja muokata salakirjoitusluetteloa /etc/ssh/sshd_config joten vain ctr-pohjaiset salakirjoitukset ovat jäljellä.
Sinun pitäisi päätyä Cipher linja näin:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr Tai näin, jos haluat edelleen tukea
CBC-pohjaisia salakirjoitusta:
Ciphers aes128-ctr,aes256-ctr,aes128-cbc,aes256-cbc
4.Save the file, käynnistä sitten sshd /sbin/service sshd uudelleen Jos skannaus kutsuu ei-tuetun avaimenvaihtoalgoritmin: Yleensä skannaus merkitsee
tämän QID:n VNX:ään, koska tuemme diffie-helman-group1-sha1:tä SSH:n avaintenvaihtoalgoritmina. VNX/VNX2-koodissa käytämme OpenSSH:n vanhempia versioita, jotka eivät tue avaintenvaihdon algoritmiluettelon muokkaamista Tällä hetkellä ei ole mitään keinoa poistaa diffie-helman-group1-sha1:tä, eikä OpenSSH:ta aiota päivittää tuen sallimiseksi (KexAlgorithms-vaihtoehtoa ei ole OpenSSH-versiossamme). OpenSSH:n uudemmissa versioissa se voidaan sshd_conf määrittämään, mitä keskeisiä vaihtoalgoritmeja voidaan käyttää). Diffie-helman-group1-sha1:llä ei ole tällä hetkellä tunnettuja haavoittuvuuksia SSH:ssa, ja ainoa mahdollinen ongelma on pienempi 1024-bittinen avaimen koko. TLS:ssä tiedetään olevan haavoittuvuus diffie-helman-group1-sha1 :n (CVE-2015-4000) osalta, mutta sitä lievennetään jo httpd.conf-sivustossa poistamalla vientisitipat käytöstä, eikä se koske SSH:ta.
Tällä hetkellä diffie-helman-group1-sha1:tä ei voi poistaa käytöstä SSH:n avainvaihtoalgoritmina, eikä kyseistä toimintoa aiota lisätä. Sitä voidaan rajoittaa asiakaspuolella, mutta sitä ei voi poistaa käytöstä ohjausaseman SSH-palvelimella.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |