Início / computer / Perguntas / 1812760
Accepted
Rick Brian
Asked: 2023-10-16 09:44:15 +0800 CST

Listando as cifras ssh disponíveis do host no cliente

  • 772

Existe uma maneira de um cliente verificar as cifras e algoritmos SSH disponíveis sem usar o NMAP?

Configurei meu sshd_config para desativar algumas cifras e algoritmos encontrados pela minha equipe de segurança.

Só quero me testar se essas cifras não estão disponíveis.

ssh

1 respostas

  1. Best Answer

    Para testar se o servidor permite um algoritmo, a maneira mais fácil é tentar conectar-se usando-o e ver se o servidor o aceita, como nestes exemplos:

    ssh -oCiphers=3des-cbc [user@]host # or briefer ssh -c...; see below
ssh -oMACs=hmac-sha1 ditto # or briefer ssh -m...; probably should be rejected
# may need to specify a non-AEAD cipher to get valid test of a MAC
ssh -oKexAlgorithms=diffie-hellman-group1-sha1 ditto # should be rejected 
ssh -oHostKeyAlgorithms=ssh-rsa ditto # ditto
ssh -oPubkeyAcceptedAlgorithms=ssh-rsa ditto # below 8.5 use PubkeyAcceptedKeyTypes; ditto

    As 'melhores práticas' hoje dizem que o 3DES não deve ser usado; na verdade, não está quebrado, mas se você enviar gigabytes de dados, um adversário passivo provavelmente será capaz de detectar a ocorrência de um bloco de cifra duplicado, mas (com CBC) não que fosse texto simples duplicado, o que seria uma 'quebra' na criptografia teoria, mas é muito pouco provável que tenha qualquer utilidade na prática. Se você quiser perder tempo mergulhando nesse buraco de rato, consulte crypto.SX ou possivelmente security.SX.

    hmac-sha1 e ssh-rsa ou ssh-dss (ambos usam sha1) também não estão quebrados, mas não são mais considerados como fornecendo uma margem de segurança adequada.

    Se você quiser ver todos os algoritmos permitidos pelo servidor, exceto (possivelmente) client-auth, basta fazer uma conexão e ssh -vvobservar esta parte da saída:

    debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1
debug2: host key algorithms: ssh-rsa,rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
debug2: ciphers stoc: [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
debug2: MACs ctos: [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: [email protected],umac-12[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,z[email protected]
debug2: compression stoc: none,[email protected]

    para tudo, exceto autenticação do cliente e esta parte (posterior) (que pode ser omitida dependendo do software do servidor):

    debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521>

    para autenticação de cliente (ou seja, aceito pelo servidor).

    • 0

relate perguntas