it-swarm.com.de

SSH: Wie deaktiviere ich schwache Chiffren?

Das Sicherheitsteam meiner Organisation hat uns angewiesen, schwache Chiffren zu deaktivieren, da sie schwache Schlüssel ausgeben.

  arcfour
  arcfour128
  arcfour256

Aber ich habe versucht, nach diesen Chiffren in den Dateien ssh_config und sshd_config zu suchen, fand sie aber kommentiert.

 grep arcfour *
ssh_config:#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc

Wo sollte ich sonst überprüfen, um diese Chiffren von SSH zu deaktivieren?

53
rɑːdʒɑ

Wenn in ssh_config Mit dem Schlüsselwort Ciphers keine explizite Liste von Chiffren festgelegt wurde, wird der Standardwert gemäß man 5 ssh_config (Client-seitig) und man 5 sshd_config (serverseitig) ist:

            aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
            [email protected],[email protected],
            [email protected],
            aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
            aes256-cbc,arcfour

Beachten Sie das Vorhandensein der Arcfour-Chiffren. Daher müssen Sie möglicherweise explizit einen restriktiveren Wert für Ciphers festlegen.

ssh -Q cipher Vom Client teilt Ihnen mit, welche Schemata Ihr Client unterstützen kann. Beachten Sie, dass diese Liste nicht von der in ssh_config Angegebenen Liste von Chiffren betroffen ist. Durch Entfernen einer Verschlüsselung aus ssh_config Wird sie nicht aus der Ausgabe von ssh -Q cipher Entfernt. Wenn Sie ssh mit der Option -c Verwenden, um eine Verschlüsselung explizit anzugeben, wird die eingeschränkte Liste der in ssh_config Festgelegten Chiffren überschrieben und möglicherweise die Verwendung einer schwachen Chiffre ermöglicht. Mit dieser Funktion können Sie mit Ihrem ssh -Client mit veralteten SSH-Servern kommunizieren, die die neueren stärkeren Chiffren nicht unterstützen.

nmap --script ssh2-enum-algos -sV -p <port> <Host> Zeigt an, welche Schemata Ihr Server unterstützt.

43
Ulrich Schwarz

Um RC4 zu deaktivieren und sichere Chiffren auf dem SSH-Server zu verwenden, codieren Sie Folgendes wie folgt in /etc/ssh/sshd_config

ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

ODER wenn Sie keine Chiffren diktieren möchten, sondern nur unsichere Chiffren entfernen möchten, führen Sie dies stattdessen in der Befehlszeile aus (im Sudo-Modus):

sshd -T | grep ciphers | sed -e "s/\(3des-cbc\|aes128-cbc\|aes192-cbc\|aes256-cbc\|arcfour\|arcfour128\|arcfour256\|blowfish-cbc\|cast128-cbc\|[email protected]\)\,\?//g" >> /etc/ssh/sshd_config

Sie können die derzeit von Ihrem Server verwendeten Chiffren überprüfen mit:

Sudo sshd -T | grep ciphers | Perl -pe 's/,/\n/g' | sort -u

Stellen Sie sicher, dass Ihr SSH-Client diese Chiffren verwenden kann

ssh -Q cipher | sort -u

um die Liste zu sehen.

Sie können Ihren SSH-Client auch anweisen, nur sichere Chiffren mit Remote-Servern auszuhandeln. Im /etc/ssh/ssh_config einstellen:

Host *
    ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

Die obigen Ausschnitte stammen von hier
Um die Einstellungen Ihres Servers zu testen, können Sie ssh-audit verwenden

32
savageBum

Das Problem bei der expliziten Angabe einer Verschlüsselungsliste besteht darin, dass Sie neue Verschlüsselungen manuell hinzufügen müssen, sobald sie herauskommen. Listen Sie stattdessen einfach die Chiffren auf, die Sie entfernen möchten, und stellen Sie der Liste (nicht jeder einzelnen Chiffre) ein '-' voran. In diesem Fall sollte die Zeile "Chiffren" lauten:

Ciphers -arcfour*

Oder wenn Sie es vorziehen:

Ciphers -arcfour,arcfour128,arcfour256

In der Manpage sshd_config zur Option Ciphers (seit OpenSSH 7.5, veröffentlicht am 20.03.2017):

Wenn der angegebene Wert mit einem "+" beginnt, werden die angegebenen Chiffren an den Standardsatz angehängt, anstatt sie zu ersetzen. Wenn der angegebene Wert mit einem "-" beginnt, werden die angegebenen Chiffren (einschließlich Platzhalter) aus dem Standardsatz entfernt, anstatt sie zu ersetzen.

Dies gilt auch für die Optionen KexAlgorithms und MACs.

24
Spacedog

So deaktivieren Sie eine schwache SSH-Verschlüsselung, die zu 100% auf Fedora 29 getestet wurde. Das Problem: Nessus meldet, dass mein Samba4-Server keine starken Verschlüsselungen verwendet: aes256-cbc und aes128-cbc. Also habe ich diese Zeilen in /etc/ssh/sshd_config

MACs hmac-sha2-512,hmac-sha2-256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
KexAlgorithms diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,curve25519-sha256,[email protected]

Et voilà! .. es wird immer noch die cbc-Verschlüsselung verwendet, da dieser Befehl funktioniert :(

ssh -c aes256-cbc samba4

Also überprüfe ich das nützliche systemd und stelle fest, dass der sshd-Dienst eine andere Datei für Chiffren verwendet

/etc/crypto-policies/back-ends/opensshserver.config

Sichern Sie die Datei aus Sicherheitsgründen

cp /etc/crypto-policies/back-ends/opensshserver.config     /etc/crypto-policies/back-ends/opensshserver.config.old

Bearbeiten Sie es und entfernen Sie die cbc-Verschlüsselung. Starten Sie den Dienst neu

systemctl restart sshd

Und schließlich testen, funktioniert gut .. cbc deaktiviert.

ssh -c aes256-cbc samba4
Unable to negotiate with 192.168.0.48 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
2
elbarna

aktivieren/Deaktivieren der Verschlüsselung muss in der Datei/etc/ssh/sshd_config hinzugefügt/entfernt werden. Nach dem Bearbeiten dieser Datei muss der Dienst neu geladen werden

systemctl reload sshd
/etc/init.d/sshd reload

Wenn Sie diesen Befehl vom Client aus ausführen, erfahren Sie, welche Schemata unterstützt werden

ssh -Q cipher

Führen Sie diesen Befehl aus, um zu überprüfen, ob die Arcfour-Verschlüsselung auf dem Server aktiviert ist oder nicht

ssh localhost -c arcfour

Führen Sie diesen Befehl aus, um zu überprüfen, ob die arcfour128-Verschlüsselung auf dem Server aktiviert ist oder nicht

ssh localhost -c arcfour128
2
Kumar