L'équipe de sécurité de mon organisation nous a dit de désactiver les chiffrements faibles car ils émettent des clés faibles.
arcfour
arcfour128
arcfour256
Mais j'ai essayé de rechercher ces chiffrements dans les fichiers ssh_config et sshd_config mais je les ai trouvés commentés.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Où dois-je vérifier pour désactiver ces chiffrements de SSH ?
Réponse acceptée :
Si vous n'avez pas de liste explicite de chiffrements définis dans ssh_config
en utilisant les Ciphers
mot-clé, puis la valeur par défaut, selon man 5 ssh_config
(côté client) et man 5 sshd_config
(côté serveur), est :
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
Notez la présence des chiffrements arcfour. Vous devrez donc peut-être définir explicitement une valeur plus restrictive pour Ciphers
.
ssh -Q cipher
du client vous dira quels schémas votre client peut prendre en charge. Notez que cette liste n'est pas affectée par la liste des chiffrements spécifiés dans ssh_config
. Suppression d'un chiffrement de ssh_config
ne le supprimera pas de la sortie de ssh -Q cipher
. De plus, en utilisant ssh
avec le -c
l'option pour spécifier explicitement un chiffrement remplacera la liste restreinte de chiffrements que vous avez définie dans ssh_config
et éventuellement vous permettre d'utiliser un chiffrement faible. Il s'agit d'une fonctionnalité qui vous permet d'utiliser votre ssh
client pour communiquer avec des serveurs SSH obsolètes qui ne prennent pas en charge les nouveaux chiffrements plus puissants.
nmap --script ssh2-enum-algos -sV -p <port> <host>
vous indiquera les schémas pris en charge par votre serveur.