Il team di sicurezza della mia organizzazione ci ha detto di disabilitare i codici deboli perché emettono chiavi deboli.
arcfour
arcfour128
arcfour256
Ma ho provato a cercare queste cifre nel file ssh_config e sshd_config ma le ho trovate commentate.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Dove altro dovrei controllare per disabilitare questi codici da SSH?
Risposta accettata:
Se non hai un elenco esplicito di cifrature impostate in ssh_config usando i Ciphers parola chiave, quindi il valore predefinito, secondo man 5 ssh_config (lato client) e man 5 sshd_config (lato server), è:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
Notare la presenza delle cifre arcfour. Quindi potresti dover impostare in modo esplicito un valore più restrittivo per Ciphers .
ssh -Q cipher dal cliente ti dirà quali schemi il tuo cliente può supportare. Nota che questo elenco non è influenzato dall'elenco di crittografie specificato in ssh_config . Rimozione di una cifra da ssh_config non lo rimuoverà dall'output di ssh -Q cipher . Inoltre, utilizzando ssh con il -c l'opzione per specificare in modo esplicito una cifra sovrascriverà l'elenco limitato di cifrature che hai impostato in ssh_config e possibilmente permetterti di usare un cifrario debole. Questa è una funzione che ti permette di usare il tuo ssh client per comunicare con server SSH obsoleti che non supportano i codici più recenti e più potenti.
nmap --script ssh2-enum-algos -sV -p <port> <host> ti dirà quali schemi supporta il tuo server.