Sto cercando di sistemare la mia configurazione SSH su Fedora e RedHat con ssh-audit .
Sono riuscito a correggere i cifrari e gli algoritmi impostando
KexAlgorithms diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,[email protected]
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],[email protected]
in /etc/ssh/sshd_config
Lo strumento di controllo lamenta ancora le chiavi host che dovrebbero essere rigenerate:
# host-key algorithms
[...]
(key) ecdsa-sha2-nistp256 -- [fail] using weak elliptic curves
'- [warn] using weak random number generator could reveal the key
'- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62
[...]
# algorithm recommendations (for OpenSSH 7.9)
(rec) -ecdsa-sha2-nistp256 -- key algorithm to remove
Ho quindi ricreato i moduli Diffie-Hellman e generato nuove chiavi
rm -fv /etc/ssh/ssh_host_*
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
cp moduli-2048 /etc/ssh/moduli
ssh-keygen -A
Lo strumento di controllo continua a lamentarsi. Come potrei usare un generatore di numeri casuali migliore? Posso escludere ecdsa-sha2-nistp256 dalla generazione della chiave?