VNX: Qualsys scansione contrassegno QID 38739-deprecato SSH impostazioni di crittografia (utente correggibile)
Summary: VNX: Qualsys scansione contrassegno QID 38739-deprecato SSH impostazioni di crittografia (utente correggibile)
Symptoms
Qualsys Scan seleziona le seguenti QID:
QID 38739-deprecated SSH impostazioni di crittografia
Cause
Resolution
Ci sono un paio di possibili motivi per cui QID può contrassegnare. Nella scansione devono essere presenti motivi specifici che dovrebbero chiarire il motivo del suo arrivo.
Il primo motivo che può contrassegnare è dovuto al SSH elenco di crittografia. Per impostazione predefinita in alcune versioni di codice i arcfour precedenti e i Cipher Blowfish sono presenti nell'elenco di crittografia.
Come controllare e modificare l'elenco di crittografia corrente:
1. su su root
2. Eseguire questo comando:
grep-i Cipher/etc/ssh/sshd_config
cipher aes128-cbc, 3DES-CBC, BLOWFISH-CBC, Cast128-CBC, arcfour128, arcfour256, arcfour, aes192-cbc, AES256-CBC, AES128-CTR, aes192-CTR, AES256-CTR
3. vi il file e modificare l'elenco di crittografia in/etc/ssh/sshd_config in modo che solo i Cipher based Cipher rimangano.
Si dovrebbe finire con una riga di cifratura simile a questa:
cipher AES128-CTR, aes192-CTR, AES256-CTR
o come questo se si desidera continuare a supportare le cifre basate su CBC:
crittografia Aes128-CTR, AES256-CTR, AES128-CBC, AES256-CBC
4. salvare il file, quindi riavviare sshd
/sbin/service sshd
se la scansione richiama un algoritmo di scambio chiavi non supportato:
in genere la scansione contrassegnerà questo qid su una VNX a causa di un supporto di Diffie-Helman-Gruppo1-SHA1 come algoritmo di scambio delle chiavi per SSH. Nel codice VNX/VNX2 stiamo eseguendo versioni meno recenti di OpenSSH che non supportano la modifica dell'elenco di algoritmi chiave di Exchange all'ora corrente, non è possibile rimuovere Diffie-Helman-Gruppo1-SHA1 e non vi sono piani per l'upgrade di OpenSSH per consentire tale supporto (l'opzione KexAlgorithms non esiste nella nostra versione di OpenSSH. Nelle versioni più recenti di OpenSSH può essere impostato in sshd_conf per specificare quali algoritmi di Key Exchange possono essere utilizzati. Diffie-Helman-Gruppo1-SHA1 non ha alcuna vulnerabilità nota in SSH attualmente e l'unico potenziale problema sono le dimensioni più piccole della chiave 1024 bit. Esiste una vulnerabilità nota in TLS relativamente a Diffie-Helman-Gruppo1-SHA1 (CVE-2015-4000), ma che è già in corso di attenuazione in httpd. conf disattivando le cifre di esportazione e non si applica a SSH.
Al momento non è possibile disabilitare Diffie-Helman-Gruppo1-SHA1 come algoritmo di scambio delle chiavi per SSH e non vi sono piani per aggiungere tale funzionalità. Può essere limitato sul lato client, ma non esiste alcun modo per disattivarlo sul server SSH della Control Station.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |