Avamar: Bir Güvenlik Taraması raporunda "SSH Sunucusu Genel Anahtarı Çok Küçük" ve "Kullanımdan Kaldırılan SSH Şifreleme Ayarları" bildiriliyor

Aşağıdaki güvenlik açığı Güvenlik Taraması Raporunda bildirilmiştir.

Title: SSH Server Public Key Too Small

Results: Algorithm Length ssh-rsa 1024 bit

Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated. 
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.

QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type    Name
key exchange    diffie-hellman-group1-sha1
cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication

Komutta SSH Genel Anahtar varsayılan olarak 2048 bit yerine 1024 bit ile yapılandırılmıştır ve kullanım dışı SSH Şifreleme Ayarları.

1. Avamar Utility Node'da yönetici olarak oturum açın.

2. Kök ayrıcalığına yükseltin.

3. Hangi şifrelerin kullanılabileceğini belirleyin:

cat /etc/ssh/sshd_config | grep -i ciphers

Örnek çıktı:

# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

4. Hangi şifrelerin kullanıldığını onaylamak için aşağıdaki komutu çalıştırın:

ssh -Q cipher

Örnek çıktı:

3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

5. Yedek bir kopyasını oluşturun /etc/ssh/sshd_config :

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d` 

6. vi komutunu kullanarak /etc/ssh/sshd_config :

vi /etc/ssh/sshd_config 

7. Aşağıdaki değişiklikleri yapın:

a. Güvenlik taraması raporunda listelenen, kullanımdan kaldırılmış SSH şifreleme ayarlarını kaldırın. Bu örnekte, aşağıda listelenenler:

cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour 

b. Aşağıdaki parametreyi 1024'ten 2048'e değiştirin:

ServerKeyBits 2048 

c. SSH'nin hangi anahtarları kullanacağını belirtmek için bu satırlardaki yorumları kaldırın:

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key 

8. Aşağıdaki anahtarların her birinin boyutunu kontrol edin:

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

Örnek çıktı:

2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5]  root@linux-host1 (RSA)

ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

Örnek çıktı:

256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5]  root@linux-host1 (ECDSA)

ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub 

Örnek çıktı:

256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5]  root@linux-host1 (ED25519)

Boyutlar (çıktıdaki ilk sayı, kırmızı ile vurgulanmıştır) yukarıdaki çıktıdan daha düşükse, yeni anahtarların oluşturulması gerekir.

Gerekirse, oluşturulacak anahtar veya anahtarlar için geçerli komutu çalıştırın:

sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key 

sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key 

sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

Herhangi bir anahtarın üzerine yazmayı onaylayın:

Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

9. Yapılandırmanın herhangi bir hata içermediğini doğrulayın:

sshd -t

Çıktı olmamalıdır. Hatalar varsa, devam etmeden önce bunları düzeltin.

10. Yeniden başlatın. sshd hizmet:

service sshd restart 

11. Bu değişiklikleri uyguladıktan sonra hangi şifrelerin kabul edildiğini kontrol etmek için, daha önce listelenen her şifreye karşı aşağıdaki komutu çalıştırın:

ssh -c "cipher_name" localhost 

• • Şifre kabul ediliyorsa çıktının Ek A ile eşleşmesi gerekir
  • Şifre reddedilirse çıktının Ek B ile eşleşmesi gerekir

EK A:

root@hostname:~/#: ssh -c "cipher_name" localhost 

Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct  1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
*                                                               *
*     This is the Avamar Virtual Appliance                      *
*                                                               *
* Please read the documentation before performing               *
* any administrative functions on this node.                    *
* For help, contact EMC at 877.534.2867 (USA only) or           *
* https://support.emc.com.                                      *
*                                                               *
*****************************************************************
root@hostname:~/#: 

EK B:

root@hostname:~/#: ssh -c "cipher_name" localhost

no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipher