Score:1

Server

ฉันจะปิดใช้งานอัลกอริทึม sshd ได้อย่างไร

Ruth Edges

9/3/23 10:18

จากซอฟต์แวร์สแกนช่องโหว่ของฉัน ฉันได้รับแฟล็ก/ข้อความนี้

เปิดใช้งานอัลกอริธึมการแลกเปลี่ยนคีย์ที่อ่อนแอต่อไปนี้: 

  diffie-hellman-group-exchange-sha1
  diffie-Hellman-group1-sha1

ฉันต้องการปิดใช้งานอัลกอริทึมทั้งสองนี้

ฉันสอบถาม sshd_config...

[รูท@vm01 ~]# sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"
gssapikexalgorithms gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
ยันต์ chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384, ecdh -sha2-nistp256,diffie-hellman-group-exchange-sha256
[รูท@vm01 ~]# ssh -Q kex
diffie-Hellman-group1-sha1
diffie-Hellman-group14-sha1
diffie-Hellman-group14-sha256
diffie-Hellman-group16-sha512
diffie-Hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
เส้นโค้ง25519-sha256
curve25519-sha256@libssh.org
gss-gex-sha1-
gss-group1-sha1-
gss-group14-sha1-
[รูท@vm01 ~]# sshd -T | เกรป เค็กซ์
gssapikexalgorithms gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384, ecdh -sha2-nistp25

ดังที่คุณเห็นจากผลลัพธ์ ลูกค้าสามารถใช้อัลกอริทึมเหล่านี้ได้ ไม่มีการกล่าวถึงอัลกอริทึมที่ไม่เหมาะสมใน sshd_config แม้แต่ในไฟล์ ยันต์ ส่วน:

ยันต์ chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

ความช่วยเหลือใด ๆ ที่ชื่นชม

หมายเหตุ ฉันใช้ OpenSSH 7.4

sshd_config

ยันต์ chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384, ecdh -sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1

2933

0 + 0

เซ็นโต

เซ็นโตส7

Zoredache

9/3/23 19:14

คุณแน่ใจหรือว่าเครื่องสแกนช่องโหว่กำลังตรวจสอบเซิร์ฟเวอร์ที่คุณคิดว่าใช่ หากนั่นคือผลลัพธ์ของคุณสำหรับ `sshd -T` ฉันอยากจะเชื่อว่าเครื่องสแกนกำลังกดปุ่มระบบอื่นอยู่ ฉันอาจต้องการยืนยันว่าเครื่องสแกนใช้งานได้จริงโดยดู tcpdump บนเซิร์ฟเวอร์เป้าหมายในขณะที่เครื่องสแกนทำงาน ฉันอาจจะเรียกใช้ sshd ในโหมดดีบักในเบื้องหน้า แล้วเรียกใช้การสแกนของคุณ เพื่อให้คุณเห็นผลลัพธ์การเจรจาอย่างละเอียด

ตอบกลับ

Score:1

Server

Johhnie

9/3/23 10:41

เท่าที่ฉันทราบ OpenSHH รองรับการปิดใช้งานอัลกอริธึมการแลกเปลี่ยนคีย์หรือการเข้ารหัสเฉพาะ (และจริงๆ แล้วเป็นสองสิ่งที่แตกต่างกัน) โดยเพิ่มรายการอัลกอริทึมที่คุณต้องการปิดใช้งานด้วยยัติภังค์/ลบ -แม้ว่าโดยทั่วไปแล้วจะเป็นการตั้งค่าอย่างชัดเจนว่าคุณต้องการอนุญาตอะไร

ดู: https://man.openbsd.org/sshd_config#KexAlgorithms

หากไม่ได้ตั้งค่า KexAlgorithms แสดงว่าเซิร์ฟเวอร์ของคุณใช้การตั้งค่าเริ่มต้น คุณสามารถปล่อยให้เป็นค่าเริ่มต้นและปิดใช้งานอัลกอริธึมการแลกเปลี่ยนคีย์ที่อ่อนแอทั้งสองอันที่ไม่เหมาะสมด้วย:

#sshd_config
...
อัลกอริทึม Kex -diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1

หรือคุณสามารถตั้งค่าที่ชัดเจนมากขึ้นเช่น (ซึ่งอาจทำลายความเข้ากันได้แบบย้อนหลังกับไคลเอนต์เก่า):

#sshd_config
...
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
ยันต์ chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128 @openssh.com

0 + 0

Ruth Edges

9/3/23 10:48

เมื่อฉันทดสอบ sshd_conf ฉันได้รับข้อผิดพลาดนี้: /etc/ssh/sshd_config บรรทัดที่ 146: Bad SSH2 KexAlgorithms '-diffie-hellman-group1-sha1,-diffie-hellman-group-exchange-sha1'

ตอบกลับ

Johhnie

9/3/23 10:50

ลองละเว้นยัติภังค์ที่สองและใช้ `KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1`

ตอบกลับ

Ruth Edges

9/3/23 10:53

อัลกอริทึม KEX ที่ไม่รองรับ "-diffie-hellman-group1-sha1" /etc/ssh/sshd_config บรรทัดที่ 142: Bad SSH2 KexAlgorithms 'curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh -sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,-diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1'

ตอบกลับ

Ruth Edges

9/3/23 10:53

โปรดทราบว่าฉันมีส่วน KeyAlgorithms ที่กำหนดไว้แล้ว

ตอบกลับ

Johhnie

9/3/23 10:57

เท่าที่ฉันเข้าใจคู่มือก็คือ: ระบุทุกสิ่งที่คุณต้องการอนุญาต (และรายการอื่น ๆ ทั้งหมดจะถูกปิดใช้งาน) หรือระบุทุกสิ่งที่คุณต้องการลบออกจากรายการเริ่มต้นโดยเริ่มรายการด้วย `-` และคุณไม่สามารถทำได้ ทำการผสม `+..., -...`

ตอบกลับ

Ruth Edges

9/3/23 10:59

เหตุใดฉันจึงได้รับรหัสลับที่ไม่ต้องการเหล่านี้ในแบบสอบถามของฉัน sshd_config หากพวกเขาไม่เคยกล่าวถึงตั้งแต่แรก ฉันได้ระบุรหัสลับที่ต้องการในส่วนรหัสและคีย์อัลกอริทึม

ตอบกลับ

dave_thompson_085

15/3/23 02:31

@RuthEdges: ไวยากรณ์ '-' เพื่อลบ kexes, ciphers และอื่น ๆ จากค่าเริ่มต้นคือ [เฉพาะใน 7.5 ขึ้นไป] (https://www.openssh.com/txt/release-7.5) และ Q บอกว่า 7.4

ตอบกลับ

John Greene

16/3/23 13:49

ฉันเป็นเจ้าของเซิร์ฟเวอร์และไคลเอนต์ที่เป็นปัญหาทั้งหมด และพบปัญหาที่คล้ายกันนี้: แต่เซิร์ฟเวอร์ของฉันเพียงเครื่องเดียวที่เป็นเวอร์ชัน 7.4 ส่วนที่เหลือเป็นเวอร์ชัน 8 นอกจากนี้ยังต้องใช้เฉพาะคุณลักษณะลบ (เชิงลบ) เท่านั้นเพราะคุณอาจได้รับอัลกอริทึมเส็งเคร็งที่ถูกนำมาใช้ในระหว่างการอัปเกรด OpenSSH ครั้งต่อไป

ตอบกลับ

Score:0

Server

Rainer

3/9/23 19:32

ในเวอร์ชัน OpenSSH ของฉันใน sshd_config ไม่สามารถใช้ â+â หรือ â-â ในตอนเริ่มต้น เป็นไปได้ที่จะสร้างรายการอัลกอริทึมที่ใช้งานได้โดยคั่นด้วย â,â

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How do I disable sshd algorithms?

TH: ฉันจะปิดใช้งานอัลกอริทึม sshd ได้อย่างไร

RO: Cum dezactivez algoritmii sshd?

RU: Как отключить алгоритмы sshd?

VI: Làm cách nào để tắt thuật toán sshd?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา