내 ssh 서버에서 지원하는 MAC, 암호 및 KexAlogrithm을 어떻게 나열합니까?

19

내 ssh 서버가 지원하는 지원되는 MAC, 암호, 키 길이 및 KexAlogrithm을 어떻게 확인할 수 있습니까?

외부 보안 감사를위한 목록을 만들어야합니다. 와 비슷한 것을 찾고 openssl s_client -connect example.com:443 -showcerts있습니다. 내 연구에서에 ssh나열된 기본 암호를 사용합니다 man sshd_config. 나는 솔루션을 필요로하지만 나는 스크립트에서 사용할 수 있습니다 man sshd_config키 길이에 대한 목록 정보를하지 않습니다 . 여기서 직접 수정해야합니다 : ServerKeyBits에서 지정할 수 있습니다 sshd_config.

ssh -vv localhost &> ssh_connection_specs.out필요한 정보 를 반환하지만 나열된 암호가 클라이언트 또는 서버에서 지원하는 암호인지 확실하지 않습니다. 또한 스크립트 에서이 비 대화 형을 실행하는 방법을 모르겠습니다.

SSH연결 정보 를 얻는 편리한 방법이 있습니까?

linux  ssh  audit 
헨릭 핀겔
소스
3
밝혀졌다 sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"@Jakuje에 의해 제안 RHEL6 만 RHEL7 호스트에서 작동하지만,하지. 내가 사용하여 종료 nmap --script SSH2-hostkey localhostnmap --script ssh-hostkey localhost
헨릭 Pingel에게
ssh -vv지원되는 기능을 클라이언트 대 서버 (ctos) 및 서버 대 클라이언트 (stoc)로 출력합니다. 그러나 이러한 출력은 양측이 지원하는 것으로 제한되어 보안 감사에 덜 유용합니다.
Moshe

답변:

18

당신은 당신의 질문에서 몇 가지 요점을 놓칩니다.

  • openssh 버전은 무엇입니까? 버전마다 약간 다를 수 있습니다.
  • ServerKeyBits 프로토콜 버전 1에 대한 옵션입니다.

지원되는 암호, MAC 및 KexAlgorithms는 항상 수동으로 제공되며 키 길이와 공통되는 것은 없습니다.

활성화 된 Chipher, MAC 및 KexAlgorithms는 사용자가 지적한대로 연결을 사용하여 제공되는 것입니다. 그러나 다른 방법으로도 얻을 수 있습니다.sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"

서버 키의 키 길이를 얻으려면 ssh-keygen을 사용할 수 있습니다. ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

그러나 키 교환 중에 제공되고 사용되는 모듈러스 크기도 원하지만 실제로 키 교환 방법에 따라 다르지만 디버그 출력에서도 읽을 수 있어야합니다 ssh -vvv host.

자쿠지
소스
1
감사. sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"내 RHEL7 호스트에서만 작동했지만 RHEL6에서는 작동하지 않는 것으로 나타났습니다 . 내가 사용하여 종료 nmap --script SSH2-hostkey localhostnmap --script ssh-hostkey localhost
헨릭 Pingel에게
1
최신 openssh 업데이트가 포함 된 RHEL6 호스트도 수정되었습니다.
Jakuje
당신이 옳아 요 난 단지 ... 오래된 VM에 감사 체크
헨릭 Pingel에게
sshd -T는 sshd_config 파일에 구성된 암호에 대한 정보 만 제공합니다. 바이너리에 의해 지원되는 것으로 실제로 추가 될 수있는 것은 아닙니다
Daniel J.
11

내 ssh 서버가 지원하는 지원되는 MAC, 암호, 키 길이 및 KexAlogrithm을 어떻게 확인할 수 있습니까?

에 대한 답 것 같습니다 /superuser//a/1219759/173408은 또한 당신의 질문에 대한 답변입니다. 한 줄에 맞습니다.

nmap --script ssh2-enum-algos -sV -p 22 1.2.3.4

다음은 현재 SSH 버전이있는 일반 데비안 9.4 시스템의 출력입니다.

2018-05-22 13:40 CEST에서 Nmap 7.01 시작 (https://nmap.org)
1.2.3.4에 대한 Nmap 스캔 보고서
호스트가 작동 중입니다 (대기 시간 : 0.0024 초).
항만국 서비스 버전
22 / tcp open ssh OpenSSH 7.4p1 데비안 10 + deb9u3 (프로토콜 2.0)
| ssh2-enum-algos :
| kex_algorithms : (10)
| 곡선 25519-sha256
| curve25519-sha256@libssh.org
| ecdh-sha2-nistp256
| ecdh-sha2-nistp384
| ecdh-sha2-nistp521
| diffie-hellman-group-exchange-sha256
| diffie-hellman-group16-sha512
| diffie-hellman-group18-sha512
| diffie-hellman-group14-sha256
| diffie-hellman-group14-sha1
| server_host_key_algorithms : (5)
| ssh-rsa
| rsa-sha2-512
| rsa-sha2-256
| ecdsa-sha2-nistp256
| ssh-ed25519
| encryption_algorithms : (6)
| chacha20-poly1305@openssh.com
| aes128-ctr
| aes192-ctr
| aes256-ctr
| aes128-gcm@openssh.com
| aes256-gcm@openssh.com
| mac_algorithms : (10)
| umac-64-etm@openssh.com
| umac-128-etm@openssh.com
| hmac-sha2-256-etm@openssh.com
| hmac-sha2-512-etm@openssh.com
| hmac-sha1-etm@openssh.com
| umac-64@openssh.com
| umac-128@openssh.com
| hmac-sha2-256
| hmac-sha2-512
| hmac-sha1
| compression_algorithms : (2)
| none
| _ zlib@openssh.com
서비스 정보 : OS : Linux; CPE : cpe : / o : linux : linux_kernel

서비스 감지가 수행되었습니다. https://nmap.org/submit/에 잘못된 결과를보고하십시오.
Nmap 완료 : 0.52 초 내에 1 개의 IP 주소 (1 개의 호스트 가동) 스캔
스테판 고 우리 촌
소스
1
PORT STATE SERVICE VERSION 22/tcp filtered sshssh를 통해 동일한 서버에 로그인 할 수는 있지만이 명령으로을 얻습니다 .
hey
문자 그대로 명령을 사용 했습니까, 아니면 1.2.3.4서버의 IP로 바 꾸었습니까?
Stéphane Gourichon
서버의 IP를 사용했습니다.
hey
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.