라우터에 최신 DD-WRT 빌드를 설치하고 SSH 데몬을 활성화했습니다. 데몬은 높은 포트에서 세계를 청취하고 키 인증만을 받아들입니다. 이는 좋은 출발입니다. 그러나 ssh-audit DD-WRT의 Dropbear SSH 구성에서 여러 가지 실패 및 경고를보고합니다.
$ python ssh-audit.py 10.0.1.1
# general
(gen) banner: SSH-2.0-dropbear_2018.76
(gen) software: Dropbear SSH 2018.76
(gen) compatibility: OpenSSH 7.3+ (some functionality from 6.6), Dropbear SSH 2016.73+
(gen) compression: disabled
# key exchange algorithms
(kex) diffie-hellman-group14-sha256 -- [info] available since OpenSSH 7.3, Dropbear SSH 2016.73
(kex) diffie-hellman-group14-sha1 -- [warn] using weak hashing algorithm
`- [info] available since OpenSSH 3.9, Dropbear SSH 0.53
(kex) diffie-hellman-group1-sha1 -- [fail] removed (in server) since OpenSSH 6.7, unsafe algorithm
`- [fail] disabled (in client) since OpenSSH 7.0, logjam attack
`- [warn] using small 1024-bit modulus
`- [warn] using weak hashing algorithm
`- [info] available since OpenSSH 2.3.0, Dropbear SSH 0.28
(kex) kexguess2@matt.ucc.asn.au -- [info] available since Dropbear SSH 2013.57
...
# algorithm recommendations (for Dropbear SSH 2018.76)
(rec) -diffie-hellman-group1-sha1 -- kex algorithm to remove
(rec) -diffie-hellman-group14-sha1 -- kex algorithm to remove
(rec) +curve25519-sha256@libssh.org -- kex algorithm to append
(rec) +diffie-hellman-group16-sha512 -- kex algorithm to append
(rec) -aes128-cbc -- enc algorithm to remove
(rec) -aes256-cbc -- enc algorithm to remove
(rec) +3des-ctr -- enc algorithm to append
(rec) +twofish128-ctr -- enc algorithm to append
(rec) +twofish256-ctr -- enc algorithm to append
(rec) -hmac-md5 -- mac algorithm to remove
DD-WRT의 Dropbear SSH 데몬에 대한 키 교환, 암호화 및 메시지 코드 알고리즘을 구성 (활성화 / 비활성화) 할 수있는 방법이 있습니까? 필자는 DD-WRT 포럼과 위키를 검색했지만 결정적인 것을 발견하지 못했습니다.
나는 당신이 Dropbear 소스 코드를 해킹해야한다고 생각한다. 당신은 도전하고 있습니까? :)이 옵션은 매뉴얼에 따라 Dropbear 옵션을 통해 구성 할 수 없습니다. 스스로 Dropbear를 수정하고 컴파일해야합니다. 이것은 아마도 Dropbear가 임베디드 시스템을 위해 설계 되었기 때문일 것입니다.
—
Aulis Ronkainen
@AulisRonkainen 아, 감사합니다. 귀하가 귀하의 의견을 답변으로 남겨 주신다면 그것을 받아 들일 수 있습니다.
—
a paid nerd
물론, 문제 없습니다.
—
Aulis Ronkainen