私の組織のセキュリティチームは、弱い暗号を発行するため、弱い暗号を無効にするように指示しました。
arcfour
arcfour128
arcfour256
しかし、ssh_configファイルとsshd_configファイルでこれらの暗号を探してみましたが、コメントが付いていました。
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
SSHからこれらの暗号を無効にするために他にどこをチェックする必要がありますか?
承認された回答:
ssh_configに暗号の明示的なリストが設定されていない場合 Ciphersを使用する キーワード、次にデフォルト値、man 5 ssh_config (クライアント側)およびman 5 sshd_config (サーバー側)は:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
arcfour暗号の存在に注意してください。そのため、Ciphersに対してより制限的な値を明示的に設定する必要がある場合があります 。
ssh -Q cipher クライアントからは、クライアントがサポートできるスキームを教えてくれます。このリストは、ssh_configで指定された暗号のリストの影響を受けないことに注意してください。 。 ssh_configから暗号を削除する ssh -Q cipherの出力からは削除されません 。さらに、sshを使用する -cを使用 暗号を明示的に指定するオプションは、ssh_configで設定した暗号の制限されたリストを上書きします おそらく、弱い暗号を使用できるようにします。これは、sshを使用できるようにする機能です。 新しい強力な暗号をサポートしていない廃止されたSSHサーバーと通信するクライアント。
nmap --script ssh2-enum-algos -sV -p <port> <host> サーバーがサポートするスキームを教えてくれます。