VNX : Qualsys Scan indicateur QID 38739-obsolète SSH paramètres cryptographiques (utilisateur corrigeables)

Il existe deux raisons possibles pour lesquelles QID peut être signalé. Des raisons spécifiques doivent être répertoriées dans l’analyse afin de clarifier la raison pour laquelle celle-ci est disponible.

La première raison qui peut être signalée est due à la liste de chiffrement SSH. Par défaut, certaines versions du code Arcfour sont plus anciennes et les chiffrements Blowfish se trouvent dans la liste Cipher. 

Procédures de vérification et de modification de la liste de chiffrement actuelle :
1. su à la racine
2. Exécutez la commande suivante :
grep-i Cipher/etc/ssh/sshd_config
Ciphers aes128-cbc, 3DES-CBC, Blowfish-CBC, Cast128-CBC, arcfour128, arcfour256, Arcfour, aes192-cbc, AES256-CBC, AES128-CTR, Aes192-CTR, AES256-CTR
3. VI le fichier et modifiez la liste cipher dans/etc/ssh/sshd_config afin que seuls les chiffrements basés sur CTR restent.

Vous devez commencer par une ligne de chiffrement comme suit :
Ciphers AES128-CTR, Aes192-CTR, AES256-CTR

ou comme suit si vous souhaitez toujours prendre en charge le chiffrement basé sur les CBC :
Ciphers AES128-CTR, AES256-CTR, AES128-CBC, AES256-CBC

4. Enregistrez le fichier, puis redémarrez sshd
/sbin/service sshd redémarrez

si l’analyse appelle un algorithme d’échange de clés non pris en charge :
généralement, l’analyse signale ce qid sur un VNX car nous prenons en charge l’algorithme d’échange de clés pour SSH. Dans le code VNX/VNX2, nous exécutons des versions plus anciennes de OpenSSH qui ne prennent pas en charge la modification de la liste d’algorithmes d’échange de clés à l’heure actuelle. il n’y a aucun moyen de supprimer Diffie-Helman-Groupe1-SHA1 et il n’y a pas de plan pour mettre à niveau OpenSSH pour permettre cette prise en charge Dans les versions plus récentes de OpenSSH, il peut être défini dans sshd_conf pour spécifier les algorithmes d’échange de clés qui peuvent être utilisés). Diffie-Helman-Groupe1-SHA1 n’a pas de failles connues dans SSH actuellement et le seul problème potentiel est la plus petite taille de la clé binaire 1024. Il existe une vulnérabilité connue dans TLS concernant Diffie-Helman-Groupe1-SHA1 (CVE-2015-4000) mais qui est déjà en cours d’atténuation dans httpd. conf en désactivant les chiffrements d’exportation et ne s’applique pas aux SSH.

À l’heure actuelle, il n’y a aucun moyen de désactiver Diffie-Helman-Groupe1-SHA1 en tant qu’algorithme d’échange de clés pour SSH et il n’est pas prévu d’ajouter cette fonctionnalité. Elle peut être restreinte du côté client, mais il n’y a aucun moyen de la désactiver sur le serveur SSH de la station pilote.