Avamar: "Chave pública do servidor SSH muito pequena" e "Configurações de criptografia SSH obsoletas" são relatadas em um relatório de verificação de segurança

A seguinte vulnerabilidade de segurança foi relatada no Relatório de verificação de segurança.

Title: SSH Server Public Key Too Small

Results: Algorithm Length ssh-rsa 1024 bit

Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated. 
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.

QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type    Name
key exchange    diffie-hellman-group1-sha1
cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication

A coluna SSH A chave pública é configurada por padrão com 1024 bits em vez de 2048 bits e pode estar usando obsoletos SSH Configurações criptográficas.

1. Faça log-in no Avamar Utility Node como administrador.

2. Eleve para o privilégio root.

3. Determine quais cifras podem ser usadas:

cat /etc/ssh/sshd_config | grep -i ciphers

Exemplo de resultado:

# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

4. Execute o seguinte comando para confirmar quais cifras são usadas:

ssh -Q cipher

Exemplo de resultado:

3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

5. Faça uma cópia de backup do /etc/ssh/sshd_config :

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d` 

6. Usando vi, edite o /etc/ssh/sshd_config :

vi /etc/ssh/sshd_config 

7. Faça as seguintes alterações:

um. Remova qualquer uma das configurações criptográficas SSH obsoletas listadas no relatório de verificação de segurança. Neste exemplo, os listados abaixo:

cipher    arcfour256
cipher    arcfour128
cipher    3des-cbc
cipher    blowfish-cbc
cipher    cast128-cbc
cipher    arcfour 

b. Altere o seguinte parâmetro de 1024 para 2048:

ServerKeyBits 2048 

c. Remova os comentários nessas linhas para especificar quais chaves o SSH usará:

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key 

8. Verifique o tamanho de cada uma dessas chaves:

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

Exemplo de resultado:

2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5]  root@linux-host1 (RSA)

ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub

Exemplo de resultado:

256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5]  root@linux-host1 (ECDSA)

ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub 

Exemplo de resultado:

256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5]  root@linux-host1 (ED25519)

Se os tamanhos (o primeiro número na saída, destacado em vermelho) forem menores do que a saída acima, novas chaves deverão ser geradas.

Se necessário, execute o comando aplicável para a chave ou chaves a serem geradas:

sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key 

sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key 

sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

Confirme se qualquer chave substitui:

Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

9. Verifique se a configuração não contém erros:

sshd -t

Não deve haver resultado. Se houver erros, corrija-os antes de continuar.

10. Reinicie o sshd serviço:

service sshd restart 

11. Para verificar quais cifras estão sendo aceitas após a aplicação dessas alterações, execute o seguinte comando em cada uma das codificações listadas anteriormente:

ssh -c "cipher_name" localhost 

• • Se a cifra estiver sendo aceita, a saída deverá corresponder ao Apêndice A
  • Se a cifra estiver sendo negada, a saída deverá corresponder ao Apêndice B

APÊNDICE A:

root@hostname:~/#: ssh -c "cipher_name" localhost 

Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct  1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
*                                                               *
*     This is the Avamar Virtual Appliance                      *
*                                                               *
* Please read the documentation before performing               *
* any administrative functions on this node.                    *
* For help, contact EMC at 877.534.2867 (USA only) or           *
* https://support.emc.com.                                      *
*                                                               *
*****************************************************************
root@hostname:~/#: 

APÊNDICE B:

root@hostname:~/#: ssh -c "cipher_name" localhost

no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipher