Chiavi host SSH sicure

1

Sto cercando di sistemare la mia configurazione SSH su Fedora e RedHat con ssh-audit .

Sono riuscito a correggere i cifrari e gli algoritmi impostando

KexAlgorithms diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,[email protected]
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],[email protected]

in /etc/ssh/sshd_config

Lo strumento di controllo lamenta ancora le chiavi host che dovrebbero essere rigenerate:

# host-key algorithms
[...]
(key) ecdsa-sha2-nistp256            -- [fail] using weak elliptic curves
                                     '- [warn] using weak random number generator could reveal the key
                                     '- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62
[...]
# algorithm recommendations (for OpenSSH 7.9)
(rec) -ecdsa-sha2-nistp256           -- key algorithm to remove 

Ho quindi ricreato i moduli Diffie-Hellman e generato nuove chiavi

rm -fv /etc/ssh/ssh_host_*
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
cp moduli-2048 /etc/ssh/moduli
ssh-keygen -A

Lo strumento di controllo continua a lamentarsi. Come potrei usare un generatore di numeri casuali migliore? Posso escludere ecdsa-sha2-nistp256 dalla generazione della chiave?

    
posta Matteo 16.11.2018 - 13:37
fonte

1 risposta

1

Tutte le curve utilizzate dalle chiavi ECDSA sono considerate deboli. Elimina i file ssh_host_ecdsa_key e ssh_host_ecdsa_key.pub senza sostituirli e / o commenta le voci per loro in sshd_config . Gli unici tipi di chiavi che vale la pena di avere sono RSA e Ed25519, e dovresti già averli.

    
risposta data 16.11.2018 - 14:15
fonte

Leggi altre domande sui tag