主页 / computer / 问题 / 1812760
Accepted
Rick Brian
Asked: 2023-10-16 09:44:15 +0800 CST

从客户端列出主机可用的 ssh 密码

  • 772

有没有办法让客户端在不使用 NMAP 的情况下检查可用的 SSH 密码和算法?

我已将 sshd_config 配置为禁用安全团队发现的一些密码和算法。

只是想测试一下自己这些密码现在是否不可用。

ssh

1 个回答

  1. Best Answer

    测试服务器是否允许某种算法,最简单的方法是尝试使用它进行连接并查看服务器是否接受它,如下例所示:

    ssh -oCiphers=3des-cbc [user@]host # or briefer ssh -c...; see below
ssh -oMACs=hmac-sha1 ditto # or briefer ssh -m...; probably should be rejected
# may need to specify a non-AEAD cipher to get valid test of a MAC
ssh -oKexAlgorithms=diffie-hellman-group1-sha1 ditto # should be rejected 
ssh -oHostKeyAlgorithms=ssh-rsa ditto # ditto
ssh -oPubkeyAcceptedAlgorithms=ssh-rsa ditto # below 8.5 use PubkeyAcceptedKeyTypes; ditto

    今天的“最佳实践”表示不应使用 3DES;它实际上并没有被破坏,但如果你发送千兆字节的数据,被动的对手可能能够检测到发生了重复的密码块,但(使用 CBC)并不是说它是重复的明文,这将是加密中的“破坏”理论,但在实践中不太可能有任何用处。如果您想浪费时间深入研究这个老鼠洞,请参阅 crypto.SX 或可能的 security.SX。

    hmac-sha1 和 ssh-rsa 或 ssh-dss(两者都使用 sha1)实际上也没有被破坏,但不再被认为提供足够的安全边际。

    如果您想查看除(可能)客户端身份验证之外的所有服务器允许的算法,只需进行连接,ssh -vv然后查看这部分输出:

    debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1
debug2: host key algorithms: ssh-rsa,rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
debug2: ciphers stoc: [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
debug2: MACs ctos: [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: [email protected],umac-12[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,z[email protected]
debug2: compression stoc: none,[email protected]

    对于除客户端身份验证之外的所有内容,以及这(稍后)部分(可能会被省略,具体取决于服务器软件):

    debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521>

    用于客户端身份验证(即被服务器接受)。

    • 0

相关问题