Tham gia Đăng nhập
Điểm:1
Ruth Edges avatar Server

Làm cách nào để tắt thuật toán sshd?

lá cờ ge
Ruth Edges

Từ phần mềm quét lỗ hổng của tôi, tôi nhận được cờ/tin nhắn này

Các thuật toán trao đổi khóa yếu sau được bật: 

  diffie-hellman-nhóm-trao đổi-sha1
  diffie-hellman-group1-sha1

Tôi muốn tắt hai thuật toán này.

Tôi đã truy vấn sshd_config...

[root@vm01 ~]# sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"
thuật toán gssapikex gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
mật mã chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
mac hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh -sha2-nistp256,diffie-hellman-group-exchange-sha256
[root@vm01 ~]# ssh -Q kex
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-nhóm-trao đổi-sha1
diffie-hellman-nhóm-trao đổi-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
đường cong25519-sha256
đường cong25519-sha256@libssh.org
gss-gex-sha1-
gss-group1-sha1-
gss-group14-sha1-
[root@vm01 ~]# sshd -T | grep kex
thuật toán gssapikex gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh -sha2-nistp25

Như bạn có thể thấy từ đầu ra, các máy khách có thể sử dụng các thuật toán này. Không có đề cập đến các thuật toán vi phạm trong sshd_config, ngay cả trong mật mã tiết diện:

Mật mã chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

Bất kỳ trợ giúp đánh giá cao.

Lưu ý tôi đang sử dụng OpenSSH 7.4

sshd_config

Mật mã chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MAC hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh -sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1
2933
0 + 0
xu
lá cờ in
Zoredache
Bạn có chắc là trình quét lỗ hổng thực sự đang kiểm tra máy chủ mà bạn nghĩ không? Nếu đó thực sự là đầu ra của bạn cho `sshd -T` thì tôi sẽ rất muốn tin rằng máy quét bằng cách nào đó đang tấn công một hệ thống khác. Tôi có thể muốn xác nhận rằng máy quét đang thực sự hoạt động bằng cách xem tcpdump trên máy chủ đích trong khi máy quét chạy. Tôi cũng có thể chạy sshd ở chế độ gỡ lỗi ở nền trước và sau đó chạy quá trình quét của bạn để bạn có thể thấy đầu ra đàm phán dài dòng.
2
Hồi đáp
Điểm:1
avatar Server
lá cờ cn
Johhnie

Theo như tôi biết thì OpenSHH hỗ trợ vô hiệu hóa các thuật toán hoặc mật mã trao đổi khóa cụ thể (và đó thực sự là hai thứ khác nhau), bằng cách thêm vào trước danh sách các thuật toán bạn muốn vô hiệu hóa bằng dấu gạch nối/dấu trừ -, mặc dù phổ biến hơn là thiết lập rõ ràng những gì bạn muốn cho phép.

Nhìn thấy: https://man.openbsd.org/sshd_config#KexAlgorithms

Nếu KexAlgorithms hiện chưa được đặt thì máy chủ của bạn đang sử dụng cài đặt mặc định. Bạn có thể để mặc định và vô hiệu hóa hai thuật toán trao đổi khóa yếu vi phạm đó bằng:

# sshd_config
...
KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1

Hoặc bạn có thể đặt các cài đặt mạnh rõ ràng hơn, chẳng hạn như (có thể phá vỡ khả năng tương thích ngược với các máy khách cũ):

# sshd_config
...
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Mật mã chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MAC hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128 @openssh.com
0 + 0
Ruth Edges avatar
lá cờ ge
Ruth Edges
Khi tôi kiểm tra sshd_conf, tôi gặp lỗi này: /etc/ssh/sshd_config dòng 146: Bad SSH2 KexAlgorithms '-diffie-hellman-group1-sha1,-diffie-hellman-group-exchange-sha1'.
0
Hồi đáp
lá cờ cn
Johhnie
Hãy thử bỏ qua dấu gạch nối thứ hai và sử dụng `KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1`
0
Hồi đáp
Ruth Edges avatar
lá cờ ge
Ruth Edges
Thuật toán KEX không được hỗ trợ "-diffie-hellman-group1-sha1" /etc/ssh/sshd_config dòng 142: SSH2 KexAlgorithms không hợp lệ 'curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh -sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1'.
0
Hồi đáp
Ruth Edges avatar
lá cờ ge
Ruth Edges
Lưu ý rằng tôi đã có phần KeyAlgorithms được xác định.
0
Hồi đáp
lá cờ cn
Johhnie
Theo như tôi hiểu về sách hướng dẫn thì đó là: liệt kê mọi thứ bạn muốn cho phép (và tất cả những thứ khác sẽ bị vô hiệu hóa) hoặc liệt kê mọi thứ bạn muốn xóa khỏi danh sách mặc định bằng cách bắt đầu danh sách bằng `-` và bạn không thể thực hiện kết hợp `+..., -...`
0
Hồi đáp
Ruth Edges avatar
lá cờ ge
Ruth Edges
Vậy tại sao sau đó tôi lại nhận được những mật mã không mong muốn này trong truy vấn sshd_config của mình nếu chúng chưa bao giờ được đề cập ngay từ đầu. Tôi đã nêu các mật mã mong muốn của mình trong phần mật mã và KeyAlgortihms.
0
Hồi đáp
dave_thompson_085 avatar
lá cờ jp
dave_thompson_085
@RuthEdges: Cú pháp '-' để xóa kexes, mật mã, v.v. khỏi mặc định là [chỉ trong 7.5 trở lên](https://www.openssh.com/txt/release-7.5) và Q cho biết 7.4.
0
Hồi đáp
John Greene avatar
lá cờ cn
John Greene
Tôi sở hữu tất cả các máy chủ và máy khách được đề cập và thấy sự cố TƯƠNG TỰ này: Nhưng chỉ một máy chủ của tôi ở phiên bản 7.4 đó, số còn lại đã chuyển sang phiên bản 8. ngoài ra, thật tệ khi chỉ sử dụng tính năng trừ (phủ định) vì bạn có thể nhận được một thuật toán dở tệ được giới thiệu trong lần nâng cấp OpenSSH tiếp theo.
0
Hồi đáp
Điểm:0
avatar Server
lá cờ in
Rainer

Trong Phiên bản OpenSSH của tôi trong sshd_config, không thể sử dụng â+â hoặc â-â lúc đầu. Chỉ có thể tạo danh sách các thuật toán có thể sử dụng được phân tách bằng â,â

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.