Avamar: "SSH Server Public Key Too Small" og "Deprecated SSH Cryptographic Settings" rapporteres i en Security Scan-rapport

Følgende sikkerhetssårbarhet er rapportert i rapporten om sikkerhetsskanning.

Title: SSH Server Public Key Too Small

Results: Algorithm Length ssh-rsa 1024 bit

Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated. 
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.

QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type    Name
key exchange    diffie-hellman-group1-sha1
cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication

Informasjonen i SSH Fellesnøkkel konfigureres som standard med 1024 biter i stedet for 2048 biter, og bruker kanskje avskrevet SSH Kryptografiske innstillinger.

1. Logg på Avamar-verktøynoden som administrator.

2. Hev til rotprivilegium.

3. Bestem hvilke chiffer som kan brukes:

cat /etc/ssh/sshd_config | grep -i ciphers

Eksempel på utdata:

# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

4. Kjør følgende kommando for deretter å bekrefte hvilke chiffer som brukes:

ssh -Q cipher

Eksempel på utdata:

3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

5. Ta en sikkerhetskopi av /etc/ssh/sshd_config fil:

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d` 

6. Bruk vi, rediger /etc/ssh/sshd_config fil:

vi /etc/ssh/sshd_config 

7. Gjør følgende endringer:

en. Fjern eventuelle avskrevne kryptografiske innstillinger for SSH som er oppført i rapporten for sikkerhetsskanning. I dette eksemplet er de som er oppført nedenfor:

cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour 

b. Endre følgende parameter fra 1024 til 2048:

ServerKeyBits 2048 

c. Fjern kommentarene på disse linjene for å spesifisere hvilke nøkler SSH skal bruke:

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key 

8. Kontroller størrelsen på hver av disse tastene:

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

Eksempel på utdata:

2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5]  root@linux-host1 (RSA)

ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

Eksempel på utdata:

256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5]  root@linux-host1 (ECDSA)

ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub 

Eksempel på utdata:

256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5]  root@linux-host1 (ED25519)

Hvis størrelsene (det første tallet i utdataene, uthevet i rødt) er lavere enn utdataene ovenfor, må nye nøkler genereres.

Hvis det er nødvendig, kjører du gjeldende kommando for nøkkelen eller nøklene som skal genereres:

sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key 

sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key 

sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

Bekreft eventuelle viktige overskrivinger:

Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

9. Kontroller at konfigurasjonen ikke inneholder noen feil:

sshd -t

Det skal ikke være noen utgang. Hvis det er feil, må du rette dem før du fortsetter.

10. Start skjermen på nytt sshd tjeneste:

service sshd restart 

11. Hvis du vil kontrollere hvilke chiffer som godtas etter at du har brukt disse endringene, kjører du følgende kommando mot hver chiffer som er oppført tidligere:

ssh -c "cipher_name" localhost 

• • Hvis chifferet godtas, skal utdataene samsvare med vedlegg A
  • Hvis chifferet nektes, skal utdataene samsvare med vedlegg B

VEDLEGG A:

root@hostname:~/#: ssh -c "cipher_name" localhost 

Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct  1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
*                                                               *
*     This is the Avamar Virtual Appliance                      *
*                                                               *
* Please read the documentation before performing               *
* any administrative functions on this node.                    *
* For help, contact EMC at 877.534.2867 (USA only) or           *
* https://support.emc.com.                                      *
*                                                               *
*****************************************************************
root@hostname:~/#: 

VEDLEGG B:

root@hostname:~/#: ssh -c "cipher_name" localhost

no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipher