VNX: Сканирование куалсис с пометкой Кид 38739-устаревшие параметры шифрования SSH (подходящую для пользователя)
Summary: VNX: Сканирование куалсис с пометкой Кид 38739-устаревшие параметры шифрования SSH (подходящую для пользователя)
Symptoms
При сканировании куалсис выбираются следующие Кид:
кид 38739 — устаревшие параметры шифрования SSH
Cause
Resolution
Существует несколько возможных причин, по которым Кид может помечаться. Следует иметь в наличии определенные причины, указанные в сканировании, чтобы уточнить причину его появления.
Первая причина, по которой флаг может быть помечена, заключается в том, что SSH список шифров. По умолчанию в некоторых версиях кода старые аркфаур и бловфиш шифры находятся в списке шифрования.
Порядок установки и изменения текущего списка шифрования:
1. SU на корень
2. Выполните эту команду:
grep-i Cipher/етк/сш/sshd_config
шифры AES128-CBC, 3DES-CBC, бловфиш-CBC, Cast128-CBC, arcfour128, arcfour256, аркфаур, Aes192-CBC, AES256-CBC, AES128-, Aes192-, AES256-
. VI файл и изменить список шифров в/ЕТК/СШ/sshd_config, поэтому остаются только шифры на основе рук.
В конце концов, вы должны получить такую строку шифрования:
шифр AES128-Line, Aes192-, AES256-рук
или подобным образом, если вы хотите обеспечить поддержку шифров на основе CBC:
шифр AES128-AES128, AES256-,-CBC, AES256-CBC
4. Сохраните файл, а затем перезапустите сшд/сбин/сервице
сшд restart,
Если при сканировании выдается неподдерживаемый алгоритм обмена ключами:
как правило, сканирование помечается в VNX в соответствии с нами при поддержке функции Диффи-Кид--SHA1 в качестве алгоритма обмена ключами для SSH. В коде VNX/VNX2 запущены старые версии OpenSSH, которые не поддерживают изменение списка алгоритмов обмена ключами в настоящее время нет необходимости в удалении набора Диффи-Хелман-group1-SHA1, и в этом случае нет необходимости в модернизации OpenSSH, чтобы разрешить эту поддержку (параметр Кексалгорисмс не существует в нашей версии по версии OpenSSH). В новых версиях OpenSSH его можно задать в sshd_conf, чтобы указать, какие алгоритмы обмена ключами могут использоваться). Группа Диффи-Хелман-group1-SHA1 не имеет каких-либо известных уязвимостей в SSH в настоящее время, и единственная потенциальная неполадка — это небольшой разрядный размер ключа 1024. Существует известная уязвимость в протоколе TLS в отношении Диффи-Хелман-group1-SHA1 (CVE-2015-4000), но которая уже устранена в хттпд. conf путем отключения шифров экспорта и не применяется к SSH.
В настоящее время невозможно отключить функцию Диффи-Хелман-group1-SHA1 в качестве алгоритма обмена ключами для SSH, и в этом случае не планируется добавлять эту функциональность. Он может быть ограничен на стороне клиента, но его невозможно отключить на сервере SSH управляющей станции.
Additional Information
| https://downloads.dell.com/TranslatedPDF/PT-BR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ZH-CN_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/AR-EG_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/DE_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/ES_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/FR_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/KO_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/JA_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/IT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/NL_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/PT_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/RU_KB535545.pdf |
| https://downloads.dell.com/TranslatedPDF/SV_KB535545.pdf |