บรรจวบ เข้าสู่ระบบ
Score:1
Ruth Edges avatar Server

ฉันจะปิดใช้งานอัลกอริทึม sshd ได้อย่างไร

ธง ge
Ruth Edges

จากซอฟต์แวร์สแกนช่องโหว่ของฉัน ฉันได้รับแฟล็ก/ข้อความนี้

เปิดใช้งานอัลกอริธึมการแลกเปลี่ยนคีย์ที่อ่อนแอต่อไปนี้: 

  diffie-hellman-group-exchange-sha1
  diffie-Hellman-group1-sha1

ฉันต้องการปิดใช้งานอัลกอริทึมทั้งสองนี้

ฉันสอบถาม sshd_config...

[รูท@vm01 ~]# sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"
gssapikexalgorithms gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
ยันต์ [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
macs [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
kexalgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384, ecdh -sha2-nistp256,diffie-hellman-group-exchange-sha256
[รูท@vm01 ~]# ssh -Q kex
diffie-Hellman-group1-sha1
diffie-Hellman-group14-sha1
diffie-Hellman-group14-sha256
diffie-Hellman-group16-sha512
diffie-Hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
เส้นโค้ง25519-sha256
[email protected]
gss-gex-sha1-
gss-group1-sha1-
gss-group14-sha1-
[รูท@vm01 ~]# sshd -T | เกรป เค็กซ์
gssapikexalgorithms gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
kexalgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384, ecdh -sha2-nistp25

ดังที่คุณเห็นจากผลลัพธ์ ลูกค้าสามารถใช้อัลกอริทึมเหล่านี้ได้ ไม่มีการกล่าวถึงอัลกอริทึมที่ไม่เหมาะสมใน sshd_config แม้แต่ในไฟล์ ยันต์ ส่วน:

ยันต์ [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

ความช่วยเหลือใด ๆ ที่ชื่นชม

หมายเหตุ ฉันใช้ OpenSSH 7.4

sshd_config

ยันต์ [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
KexAlgorithms curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384, ecdh -sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1
2933
0 + 0
in flag
Zoredache
คุณแน่ใจหรือว่าเครื่องสแกนช่องโหว่กำลังตรวจสอบเซิร์ฟเวอร์ที่คุณคิดว่าใช่ หากนั่นคือผลลัพธ์ของคุณสำหรับ `sshd -T` ฉันอยากจะเชื่อว่าเครื่องสแกนกำลังกดปุ่มระบบอื่นอยู่ ฉันอาจต้องการยืนยันว่าเครื่องสแกนใช้งานได้จริงโดยดู tcpdump บนเซิร์ฟเวอร์เป้าหมายในขณะที่เครื่องสแกนทำงาน ฉันอาจจะเรียกใช้ sshd ในโหมดดีบักในเบื้องหน้า แล้วเรียกใช้การสแกนของคุณ เพื่อให้คุณเห็นผลลัพธ์การเจรจาอย่างละเอียด
2
ตอบกลับ
Score:1
avatar Server
ธง cn
Johhnie

เท่าที่ฉันทราบ OpenSHH รองรับการปิดใช้งานอัลกอริธึมการแลกเปลี่ยนคีย์หรือการเข้ารหัสเฉพาะ (และจริงๆ แล้วเป็นสองสิ่งที่แตกต่างกัน) โดยเพิ่มรายการอัลกอริทึมที่คุณต้องการปิดใช้งานด้วยยัติภังค์/ลบ -แม้ว่าโดยทั่วไปแล้วจะเป็นการตั้งค่าอย่างชัดเจนว่าคุณต้องการอนุญาตอะไร

ดู: https://man.openbsd.org/sshd_config#KexAlgorithms

หากไม่ได้ตั้งค่า KexAlgorithms แสดงว่าเซิร์ฟเวอร์ของคุณใช้การตั้งค่าเริ่มต้น คุณสามารถปล่อยให้เป็นค่าเริ่มต้นและปิดใช้งานอัลกอริธึมการแลกเปลี่ยนคีย์ที่อ่อนแอทั้งสองอันที่ไม่เหมาะสมด้วย:

#sshd_config
...
อัลกอริทึม Kex -diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1

หรือคุณสามารถตั้งค่าที่ชัดเจนมากขึ้นเช่น (ซึ่งอาจทำลายความเข้ากันได้แบบย้อนหลังกับไคลเอนต์เก่า):

#sshd_config
...
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
ยันต์ [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,umac-128 @openssh.com
0 + 0
Ruth Edges avatar
ge flag
Ruth Edges
เมื่อฉันทดสอบ sshd_conf ฉันได้รับข้อผิดพลาดนี้: /etc/ssh/sshd_config บรรทัดที่ 146: Bad SSH2 KexAlgorithms '-diffie-hellman-group1-sha1,-diffie-hellman-group-exchange-sha1'
0
ตอบกลับ
cn flag
Johhnie
ลองละเว้นยัติภังค์ที่สองและใช้ `KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1`
0
ตอบกลับ
Ruth Edges avatar
ge flag
Ruth Edges
อัลกอริทึม KEX ที่ไม่รองรับ "-diffie-hellman-group1-sha1" /etc/ssh/sshd_config บรรทัดที่ 142: Bad SSH2 KexAlgorithms 'curve25519-sha256,[email protected],diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh -sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1'
0
ตอบกลับ
Ruth Edges avatar
ge flag
Ruth Edges
โปรดทราบว่าฉันมีส่วน KeyAlgorithms ที่กำหนดไว้แล้ว
0
ตอบกลับ
cn flag
Johhnie
เท่าที่ฉันเข้าใจคู่มือก็คือ: ระบุทุกสิ่งที่คุณต้องการอนุญาต (และรายการอื่น ๆ ทั้งหมดจะถูกปิดใช้งาน) หรือระบุทุกสิ่งที่คุณต้องการลบออกจากรายการเริ่มต้นโดยเริ่มรายการด้วย `-` และคุณไม่สามารถทำได้ ทำการผสม `+..., -...`
0
ตอบกลับ
Ruth Edges avatar
ge flag
Ruth Edges
เหตุใดฉันจึงได้รับรหัสลับที่ไม่ต้องการเหล่านี้ในแบบสอบถามของฉัน sshd_config หากพวกเขาไม่เคยกล่าวถึงตั้งแต่แรก ฉันได้ระบุรหัสลับที่ต้องการในส่วนรหัสและคีย์อัลกอริทึม
0
ตอบกลับ
dave_thompson_085 avatar
jp flag
dave_thompson_085
@RuthEdges: ไวยากรณ์ '-' เพื่อลบ kexes, ciphers และอื่น ๆ จากค่าเริ่มต้นคือ [เฉพาะใน 7.5 ขึ้นไป] (https://www.openssh.com/txt/release-7.5) และ Q บอกว่า 7.4
0
ตอบกลับ
John Greene avatar
cn flag
John Greene
ฉันเป็นเจ้าของเซิร์ฟเวอร์และไคลเอนต์ที่เป็นปัญหาทั้งหมด และพบปัญหาที่คล้ายกันนี้: แต่เซิร์ฟเวอร์ของฉันเพียงเครื่องเดียวที่เป็นเวอร์ชัน 7.4 ส่วนที่เหลือเป็นเวอร์ชัน 8 นอกจากนี้ยังต้องใช้เฉพาะคุณลักษณะลบ (เชิงลบ) เท่านั้นเพราะคุณอาจได้รับอัลกอริทึมเส็งเคร็งที่ถูกนำมาใช้ในระหว่างการอัปเกรด OpenSSH ครั้งต่อไป
0
ตอบกลับ
Score:0
avatar Server
ธง in
Rainer

ในเวอร์ชัน OpenSSH ของฉันใน sshd_config ไม่สามารถใช้ â+â หรือ â-â ในตอนเริ่มต้น เป็นไปได้ที่จะสร้างรายการอัลกอริทึมที่ใช้งานได้โดยคั่นด้วย â,â

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา