durante il server di handshake ssh si presenta da solo - migliora la sicurezza per cambiare l'auto presentazione?

4

I miei Archlinux dispositivi in esecuzione non si presentano da soli a ssh handshake:

$ telnet 192.168.1.151 11735
Trying 192.168.1.151...
Connected to 192.168.1.151.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.4

Tuttavia Raspribian

# telnet 1.2.3.4 1234
Trying 1.2.3.4...
Connected to 1.2.3.4.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3

o Ubuntu Server 16.04 LTS

# telnet 4.3.2.1 4321
Trying 4.3.2.1...
Connected to 4.3.2.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1

Si presentano durante l'handshake.

La configurazione del sistema non si presenta durante l'handshake, aumenta la sicurezza?

(Suppongo, lo è, poiché le conoscenze su software e versione consentono di limitare la ricerca di potenziali buchi di sicurezza)

Se, sì, come configurare il server per non introdurre la sua versione del sistema operativo durante l'handshake ssh? (o forse anche introdurre come altri, per confondere potenziali avversari?)

    
posta Grzegorz Wierzowiecki 02.02.2017 - 18:07
fonte

2 risposte

4

Does configuring system to not present themselves during handshake, increase security?

Sì, l'impronta digitale del servizio è un primo passo per un utente malintenzionato che identifica i sistemi vulnerabili. È consigliabile non pubblicizzare i dettagli della versione del tuo sistema operativo.

how to configure server to not introduce it's OS version during ssh handshake?

In /etc/ssh/sshd_config puoi impostare la voce VersionAddendum su none o su un valore personalizzato:

VersionAddendum none

(Assicurati di riavviare il daemon SSH in seguito.)

    
risposta data 02.02.2017 - 19:51
fonte
1

Does configuring system to not present themselves during handshake, increase security?

Secondo manutentori Debian non. Aggiungono ulteriori informazioni che mostrano maggiori informazioni sul sistema rispetto a quelle fornite dagli sviluppatori di Upstream (OpenBSD):

  • Aggiungono p1 dopo la versione che dice che è la versione Portable di OpenSSH (non OpenBSD). Questo era rimosso da OpenSSH portatile 13 anni fa per aumentare la privacy.
  • Aggiungono il loro numero di versione interno, come Raspbian-5+deb8u3 con un motivo:

    This makes it easier to audit networks for versions patched against security vulnerabilities.

Non indosso cappello Debian e non sono completamente d'accordo con quanto detto sopra, ma stanno avendo un punto.

  • Divulgare che non siamo OpenBSD è un minimo di informazioni che non è utile la maggior parte delle volte, allo stesso modo in cui il sistema è Debian.

  • La specifica versione di Debian di solito non è molto utile, a meno che non ci sia un buco di sicurezza molto grande

  • La maggior parte degli altri servizi inviano informazioni simili e la maggior parte dei server ne esegue altri su Internet. Puoi ottenere HELO simile dal server di posta, dai server web, dal server FTP ... Quindi un altro servizio che urla la sua versione al mondo non diminuisce la sicurezza generale.

risposta data 02.02.2017 - 22:08
fonte

Leggi altre domande sui tag