Avamar：「SSH Server Public Key Too Small」および「Deprecated SSH Cryptographic Settings」がセキュリティ スキャン レポートで報告される

セキュリティ スキャン レポートでは、次のセキュリティ脆弱性が報告されています。

Title: SSH Server Public Key Too Small

Results: Algorithm Length ssh-rsa 1024 bit

Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated. 
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.

QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type    Name
key exchange    diffie-hellman-group1-sha1
cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication

「 SSH 公開キーはデフォルトで2048ビットではなく1024ビットに設定されており、非推奨の SSH 暗号化設定。

1.Avamar Utility Nodeにadminとしてログインします。

2.root権限に昇格します。

3.使用する可能性のある暗号を決定します。

cat /etc/ssh/sshd_config | grep -i ciphers

出力例：

# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

4.次のコマンドを実行して、使用されている暗号を確認します。

ssh -Q cipher

出力例：

3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

5.のバックアップ コピーを作成します。 /etc/ssh/sshd_config ：

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d` 

6.viを使用して、 /etc/ssh/sshd_config ：

vi /etc/ssh/sshd_config 

7.次の変更を行います。

ある。セキュリティ スキャン レポートにリストされている非推奨のSSH暗号形式設定をすべて削除します。この例では、以下にリストされています。

cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour 

b.次のパラメーターを1024から2048に変更します。

ServerKeyBits 2048 

c. 次の行のコメントを削除して、SSH が使用するキーを指定します。

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key 

8.これらの各キーのサイズを確認します。

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

出力例：

2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5]  root@linux-host1 (RSA)

ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

出力例：

256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5]  root@linux-host1 (ECDSA)

ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub 

出力例：

256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5]  root@linux-host1 (ED25519)

サイズ(赤で強調表示されている出力の最初の数字)が上記の出力よりも小さい場合は、新しいキーを生成する必要があります。

必要に応じて、生成するキーに対して適切なコマンドを実行します。

sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key 

sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key 

sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

キーが上書きされていることを確認します。

Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

9.構成にエラーが含まれていないことを確認します。

sshd -t

出力はないはずです。エラーがある場合は、続行する前に修正してください。

10.再起動 sshd サービス：

service sshd restart 

11.これらの変更を適用した後にどの暗号が受け入れられるかを確認するには、前述の各暗号に対して次のコマンドを実行します。

ssh -c "cipher_name" localhost 

• • 暗号が受け入れられる場合、出力は付録Aと一致する必要があります
  • 暗号が拒否されている場合、出力は付録Bと一致する必要があります

付録A：

root@hostname:~/#: ssh -c "cipher_name" localhost 

Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct  1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
*                                                               *
*     This is the Avamar Virtual Appliance                      *
*                                                               *
* Please read the documentation before performing               *
* any administrative functions on this node.                    *
* For help, contact EMC at 877.534.2867 (USA only) or           *
* https://support.emc.com.                                      *
*                                                               *
*****************************************************************
root@hostname:~/#: 

付録B:

root@hostname:~/#: ssh -c "cipher_name" localhost

no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipher