Início / server / Perguntas / 735176
Accepted
Henrik Pingel
Asked: 2015-11-11 01:40:42 +0800 CST

Como posso listar MACs, Ciphers e KexAlogrithms suportados pelo meu servidor ssh?

  • 772

Como posso determinar os MACs, cifras, comprimento da chave e KexAlogrithms suportados pelos meus servidores ssh?

Preciso criar uma lista para uma auditoria de segurança externa. Estou procurando algo parecido com openssl s_client -connect example.com:443 -showcerts. De minha pesquisa, sshele usa as cifras padrão listadas em man sshd_config. No entanto, preciso de uma solução que possa usar em um script e man sshd_confignão liste informações sobre o comprimento da chave . Preciso me corrigir aqui: Você pode especificar ServerKeyBitsem sshd_config.

Acho que isso ssh -vv localhost &> ssh_connection_specs.outretorna as informações de que preciso, mas não tenho certeza se as cifras listadas são as cifras suportadas pelo cliente ou pelo servidor. Também não tenho certeza de como executar isso não interativo em um script.

Existe uma maneira conveniente de obter SSHinformações de conexão?

linux

2 respostas

  1. Como posso determinar os MACs, cifras, comprimento da chave e KexAlogrithms suportados pelos meus servidores ssh?

    Parece que a resposta em https://superuser.com/a/1219759/173408 também é uma resposta à sua pergunta. Cabe em uma linha:

    nmap --script ssh2-enum-algos -sV -p 22 1.2.3.4

    Aqui está a saída em uma máquina Debian 9.4 simples com a versão SSH atual:

    Iniciando o Nmap 7.01 ( https://nmap.org ) em 2018-05-22 13:40 CEST
Relatório de verificação do Nmap para 1.2.3.4
O host está ativo (latência de 0,00024s).
VERSÃO DO SERVIÇO DO ESTADO DO PORTO
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u3 (protocolo 2.0)
| ssh2-enum-algos:
| kex_algorithms: (10)
| curva25519-sha256
| [email protected]
| ecdh-sha2-nistp256
| ecdh-sha2-nistp384
| ecdh-sha2-nistp521
| diffie-hellman-group-exchange-sha256
| diffie-hellman-group16-sha512
| diffie-hellman-group18-sha512
| diffie-hellman-group14-sha256
| diffie-hellman-group14-sha1
| server_host_key_algorithms: (5)
| ssh-rsa
| rsa-sha2-512
| rsa-sha2-256
| ecdsa-sha2-nistp256
| ssh-ed25519
| algoritmos_criptografia: (6)
| [email protected]
| aes128-ctr
| aes192-ctr
| aes256-ctr
| [email protected]
| [email protected]
| mac_algoritmos: (10)
| [email protected]
| [email protected]
| [email protected]
| [email protected]
| [email protected]
| [email protected]
| [email protected]
| hmac-sha2-256
| hmac-sha2-512
| hmac-sha1
| compressão_algoritmos: (2)
| Nenhum
|_ [email protected]
Informações do serviço: SO: Linux; CPE: cpe:/o:linux:linux_kernel

Detecção de serviço realizada. Informe quaisquer resultados incorretos em https://nmap.org/submit/ .
Nmap concluído: 1 endereço IP (1 host ativo) verificado em 0,52 segundos
    • 24
  2. Best Answer

    Você perdeu alguns pontos em sua pergunta:

    • Qual é a sua versão do openssh? Pode diferir um pouco nas versões.
    • ServerKeyBitsé a opção para a versão 1 do protocolo, que esperamos ter desativado!

    Cifras, MACs e KexAlgorithms suportados estão sempre disponíveis no manual e isso não tem nada em comum com comprimentos de chave.

    Chiphers habilitados , MACs e KexAlgorithms são os que são oferecidos usando conexão como você aponta. Mas eles também podem ser obtidos de outras maneiras, por exemplo, usandosshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"

    Para obter o tamanho da(s) chave(s) do seu servidor, você pode usar ssh-keygen:ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

    mas você provavelmente desejará também os tamanhos dos módulos que são oferecidos e usados ​​durante a troca de chaves, mas isso realmente depende do método de troca de chaves, mas também deve ser legível a partir da saída de depuração ssh -vvv host.

    • 22

relate perguntas