У клиента есть поставщик, который генерирует сканирование на соответствие PCI на их сервере Debian 8.
Взято из их отчета:
Ключи DSA и ключи RSA короче 2048 бит считаются уязвимыми. Рекомендуется установить открытый ключ RSA длиной не менее 2048 бит или перейти на ECDSA или EdDSA.
Большая часть моих поисков возвращает, как работать с ssh как с клиентом. Из тех немногих, которые косвенно касаются усиления защиты этого сервера, я предлагаю изменить файл / etc / ssh / ssh_config.
Несмотря на то, что он, как говорят, устарел, я запустил ssh-audit со своего локального компьютера, и он дал несколько предложений по удалению некоторых ключей, mac и hex. Увидев отчет продавца, я закомментировал
#HostKey /etc/ssh/ssh_host_ecdsa_key
и перезапустил ssh.service и повторно запустил ssh-audit из локального, который, похоже, не изменил свой список рекомендаций, предполагающих, что я что-то сделал неправильно.
Я подозреваю, что делаю неправильные шаги, чтобы решить эту проблему для моего клиента. Что мне делать вместо этого?
Это продолжение демонстрации поставщикам PCI, что Debian 8 успешно исправлен.
В Debian jessie (в настоящее время старый стабильный и в LTS; у вас должен быть включен LTS и вы будете обновляться в течение следующих нескольких месяцев) ssh RSA-ключи в настоящее время генерируются с 2048 битами. Но если бы систему обновили до jessie, у нее могли бы быть старые ключи, сгенерированные с 1024 битами.
Вы можете использовать следующую команду, чтобы проверить состояние ключа RSA хоста:
error@vmtest-debian8:~$ ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub
2048 1a:bc:78:5e:2f:37:dd:75:c2:70:e8:18:41:35:b9:2e /etc/ssh/ssh_host_rsa_key.pub (RSA)
Если ключ меньше 2048 бит, вам необходимо сгенерировать новый ключ хоста ssh.
error@vmtest-debian8:~$ sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key
Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
| .B=o. |
| ..= . |
| ..+.o |
| ooEo |
| S+o. |
| o..o |
| o o |
| .o o |
| ..o . |
+-----------------+
И, конечно же, перезапустите OpenSSH.
error@vmtest-debian8:~$ sudo systemctl restart sshd
Обратите внимание, что в следующий раз, когда кто-нибудь подключится к серверу, он может получить такую неприятную грамм, что не сможет подключиться:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
Затронутые пользователи должны будут соответствующим образом отредактировать свои известные хосты.