El equipo de seguridad de mi organización nos dijo que deshabilitáramos los cifrados débiles porque emiten claves débiles.
arcfour
arcfour128
arcfour256
Pero traté de buscar estos cifrados en el archivo ssh_config y sshd_config pero los encontré comentados.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
¿Dónde más debo verificar para deshabilitar estos cifrados de SSH?
Respuesta aceptada:
Si no tiene una lista explícita de cifrados establecidos en ssh_config usando los Ciphers palabra clave, luego el valor predeterminado, según man 5 ssh_config (lado del cliente) y man 5 sshd_config (lado del servidor), es:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
Nótese la presencia de los cifrados arcfour. Por lo tanto, es posible que deba establecer explícitamente un valor más restrictivo para Ciphers .
ssh -Q cipher from the client le dirá qué esquemas puede soportar su cliente. Tenga en cuenta que esta lista no se ve afectada por la lista de cifrados especificados en ssh_config . Eliminando un cifrado de ssh_config no lo eliminará de la salida de ssh -Q cipher . Además, usando ssh con el -c La opción para especificar explícitamente un cifrado anulará la lista restringida de cifrados que configuró en ssh_config y posiblemente le permita usar un cifrado débil. Esta es una característica que le permite usar su ssh cliente para comunicarse con servidores SSH obsoletos que no admiten los cifrados más fuertes más nuevos.
nmap --script ssh2-enum-algos -sV -p <port> <host> le dirá qué esquemas admite su servidor.