私たちの組織のセキュリティチームは脆弱な鍵を発行するので、脆弱なパスワードを無効にするように指示します。
arcfour
arcfour128
arcfour256
しかし、ssh_configファイルとsshd_configファイルでこれらのパスワードを見つけて、そのパスワードにコメントがあることを発見しました。
grep arcfour *
ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
SSHでこれらのパスワードを無効にするにはどこを確認する必要がありますか?
ベストアンサー1
ssh_config
キーワードを使用するときにパスワードリストを明示的に設定しない場合は、(クライアント側)および(サーバー側)によるCiphers
デフォルト値は次のとおりです。man 5 ssh_config
man 5 sshd_config
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
[email protected],[email protected],
[email protected],
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
arcfourパスワードがあることを確認してください。したがって、より制限的な値を明示的に設定する必要があるかもしれませんCiphers
。
ssh -Q cipher
お客様が提供する情報により、お客様がサポートできるシナリオがわかります。このリストは、で指定されたパスワードリストの影響を受けませんssh_config
。からパスワードを削除しても出力ssh_config
から削除されませんssh -Q cipher
。また、パスワードをssh
明示的に指定するオプションを使用すると、-c
設定したパスワード制限のリストが無視され、ssh_config
脆弱なパスワードを使用できます。この機能を使用すると、クライアントを使用して、よりssh
新しい強力なパスワードをサポートしていない古いSSHサーバーと通信できます。
nmap --script ssh2-enum-algos -sV -p <port> <host>
お客様のサーバーがどのソリューションをサポートしているかをお知らせします。