Avamar: 'Openbare sleutel SSH-server te klein' en 'Verouderde SSH-cryptografische instellingen' worden vermeld in een beveiligingsscanrapport

Het volgende beveiligingsprobleem is gemeld in het rapport van de beveiligingsscan.

Title: SSH Server Public Key Too Small

Results: Algorithm Length ssh-rsa 1024 bit

Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated. 
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.

QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type    Name
key exchange    diffie-hellman-group1-sha1
cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication

De SSH Public Key is standaard geconfigureerd met 1024 bits in plaats van 2048 bits en gebruikt mogelijk verouderde SSH Cryptografische instellingen.

1. Meld u aan bij het Avamar hulpprogrammaknooppunt als beheerder.

2. Verheffen tot rootprivilege.

3. Bepaal welke cijfers kunnen worden gebruikt:

cat /etc/ssh/sshd_config | grep -i ciphers

Voorbeeldresultaat:

# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

4. Voer de volgende opdracht uit om vervolgens te bevestigen welke versleutelingen worden gebruikt:

ssh -Q cipher

Voorbeeldresultaat:

3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

5. Maak een reservekopie van de /etc/ssh/sshd_config bestand:

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d` 

6. Bewerk met vi de /etc/ssh/sshd_config bestand:

vi /etc/ssh/sshd_config 

7. Breng de volgende wijzigingen aan:

een. Verwijder alle verouderde cryptografische SSH-instellingen die worden vermeld in het beveiligingsscanrapport. In dit voorbeeld zijn de onderstaande:

cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour 

b. Wijzig de volgende parameter van 1024 in 2048:

ServerKeyBits 2048 

c. Verwijder de opmerkingen op deze regels om aan te geven welke toetsen SSH gaat gebruiken:

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key 

8. Controleer de grootte van elk van deze toetsen:

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

Voorbeeldresultaat:

2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5]  root@linux-host1 (RSA)

ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

Voorbeeldresultaat:

256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5]  root@linux-host1 (ECDSA)

ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub 

Voorbeeldresultaat:

256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5]  root@linux-host1 (ED25519)

Als de grootte (het eerste getal in de uitvoer, rood gemarkeerd) kleiner is dan de bovenstaande uitvoer, moeten nieuwe sleutels worden gegenereerd.

Voer indien nodig de toepasselijke opdracht uit voor de te genereren sleutel of sleutels:

sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key 

sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key 

sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

Bevestig dat een sleutel wordt overschreven:

Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

9. Controleer of de configuratie geen fouten bevat:

sshd -t

Er zou geen uitvoer moeten zijn. Als er fouten zijn, corrigeer deze dan voordat u verdergaat.

10. Start de sshd dienst:

service sshd restart 

11. Om te controleren welke coderingen worden geaccepteerd na het toepassen van deze wijzigingen, voert u de volgende opdracht uit voor elke eerder vermelde codering:

ssh -c "cipher_name" localhost 

• • Als het cijfer wordt geaccepteerd, moet de uitvoer overeenkomen met bijlage A
  • Als het cijfer wordt geweigerd, moet de uitvoer overeenkomen met bijlage B

BIJLAGE A:

root@hostname:~/#: ssh -c "cipher_name" localhost 

Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct  1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
*                                                               *
*     This is the Avamar Virtual Appliance                      *
*                                                               *
* Please read the documentation before performing               *
* any administrative functions on this node.                    *
* For help, contact EMC at 877.534.2867 (USA only) or           *
* https://support.emc.com.                                      *
*                                                               *
*****************************************************************
root@hostname:~/#: 

BIJLAGE B:

root@hostname:~/#: ssh -c "cipher_name" localhost

no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipher