Avamar: "SSH Server Public Key Too Small" und "Deprecated SSH Cryptographic Settings" werden in einem Sicherheitsüberprüfungsbericht aufgeführt

Die folgende Sicherheitslücke wurde im Sicherheitsscanbericht gemeldet.

Title: SSH Server Public Key Too Small

Results: Algorithm Length ssh-rsa 1024 bit

Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated. 
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.

QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type    Name
key exchange    diffie-hellman-group1-sha1
cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication

Die Spalte SSH Der öffentliche Schlüssel ist standardmäßig mit 1024 Bit anstelle von 2048 Bit konfiguriert und verwendet möglicherweise veraltete SSH Kryptografische Einstellungen.

1. Melden Sie sich beim Avamar Utility Node als AdministratorIn an.

2. Erhöhen Sie das Root-Recht.

3. Bestimmen Sie, welche Chiffren verwendet werden können:

cat /etc/ssh/sshd_config | grep -i ciphers

Beispielausgabe:

# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

4. Führen Sie dann den folgenden Befehl aus, um zu bestätigen, welche Codierschlüssel verwendet werden:

ssh -Q cipher

Beispielausgabe:

3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

5. Erstellen Sie eine Sicherungskopie des /etc/ssh/sshd_config wird:

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d` 

6. Bearbeiten Sie mithilfe von vi die /etc/ssh/sshd_config wird:

vi /etc/ssh/sshd_config 

7. Nehmen Sie die folgenden Änderungen vor:

ein. Entfernen Sie alle veralteten kryptografischen SSH-Einstellungen, die im Sicherheitsscanbericht aufgeführt sind. In diesem Beispiel sind dies die unten aufgeführten:

cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour 

b. Ändern Sie den folgenden Parameter von 1024 in 2048:

ServerKeyBits 2048 

c. Entfernen Sie die Kommentare in diesen Zeilen, um anzugeben, welche Schlüssel SSH verwenden wird:

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key 

8. Überprüfen Sie die Größe der einzelnen Schlüssel:

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

Beispielausgabe:

2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5]  root@linux-host1 (RSA)

ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

Beispielausgabe:

256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5]  root@linux-host1 (ECDSA)

ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub 

Beispielausgabe:

256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5]  root@linux-host1 (ED25519)

Wenn die Größen (die erste Zahl in der Ausgabe, rot hervorgehoben) niedriger als die Ausgabe oben sind, müssen neue Schlüssel erzeugt werden.

Führen Sie bei Bedarf den entsprechenden Befehl für den Schlüssel oder die Schlüssel aus, die erzeugt werden sollen:

sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key 

sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key 

sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

Bestätigen Sie, dass alle Schlüssel überschrieben wurden:

Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

9. Stellen Sie sicher, dass die Konfiguration keine Fehler enthält:

sshd -t

Es sollte keine Ausgabe vorhanden sein. Wenn Fehler vorliegen, beheben Sie diese, bevor Sie fortfahren.

10. Starten Sie den sshd Dienst:

service sshd restart 

11. Um zu überprüfen, welche Verschlüsselungen nach dem Anwenden dieser Änderungen akzeptiert werden, führen Sie den folgenden Befehl für jede zuvor aufgeführte Verschlüsselung aus:

ssh -c "cipher_name" localhost 

• • Wenn die Verschlüsselung akzeptiert wird, sollte die Ausgabe mit Anhang A übereinstimmen.
  • Wenn die Verschlüsselung verweigert wird, sollte die Ausgabe mit Anhang B übereinstimmen.

ANHANG A:

root@hostname:~/#: ssh -c "cipher_name" localhost 

Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct  1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
*                                                               *
*     This is the Avamar Virtual Appliance                      *
*                                                               *
* Please read the documentation before performing               *
* any administrative functions on this node.                    *
* For help, contact EMC at 877.534.2867 (USA only) or           *
* https://support.emc.com.                                      *
*                                                               *
*****************************************************************
root@hostname:~/#: 

ANHANG B:

root@hostname:~/#: ssh -c "cipher_name" localhost

no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipher