Tim keamanan organisasi saya memberi tahu kami untuk menonaktifkan sandi yang lemah karena mereka mengeluarkan kunci yang lemah.
arcfour
arcfour128
arcfour256
Tapi saya mencoba mencari cipher ini di file ssh_config dan sshd_config tetapi menemukan mereka dikomentari.
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Di mana lagi saya harus memeriksa untuk menonaktifkan cipher ini dari SSH?
Jawaban yang Diterima:
Jika Anda tidak memiliki daftar cipher eksplisit yang diatur di ssh_config menggunakan Ciphers kata kunci, lalu nilai default, sesuai dengan man 5 ssh_config (sisi klien) dan man 5 sshd_config (sisi server), adalah:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
Perhatikan keberadaan arcfour cipher. Jadi, Anda mungkin harus secara eksplisit menetapkan nilai yang lebih ketat untuk Ciphers .
ssh -Q cipher dari klien akan memberi tahu Anda skema mana yang dapat didukung klien Anda. Perhatikan bahwa daftar ini tidak terpengaruh oleh daftar sandi yang ditentukan dalam ssh_config . Menghapus sandi dari ssh_config tidak akan menghapusnya dari output ssh -Q cipher . Selanjutnya, menggunakan ssh dengan -c opsi untuk secara eksplisit menentukan sandi akan menimpa daftar sandi terbatas yang Anda tetapkan di ssh_config dan mungkin memungkinkan Anda untuk menggunakan sandi yang lemah. Ini adalah fitur yang memungkinkan Anda menggunakan ssh klien untuk berkomunikasi dengan server SSH usang yang tidak mendukung sandi baru yang lebih kuat.
nmap --script ssh2-enum-algos -sV -p <port> <host> akan memberi tahu Anda skema mana yang didukung server Anda.