Affinché la nostra azienda sia conforme allo standard PCI, dobbiamo dimostrare che non siamo vulnerabili a CVE-2007-2243. Questo afferma che:
OpenSSH 4.6 and earlier, when ChallengeResponseAuthentication is enabled, allows remote attackers to determine the existence of user accounts by attempting to authenticate via S/KEY, which displays a different response if the user account exists,
Ora eseguiamo CentOS e in base all'errore di sicurezza RedHat:
Not vulnerable. The OpenSSH packages as shipped with Red Hat Enterprise Linux do not contain S/KEY support.
Tuttavia il nostro acquirente non lo accetterà come prova. Invece, vogliono ulteriori prove come i risultati di un test, ecc.
Abbiamo ChallengeResponseAuthentication abilitato per l'utilizzo dell'autenticazione a due fattori, quindi non possiamo semplicemente disabilitarlo. C'è una semplice riga di comando che posso usare usando Putty, per esempio, fornire un po 'più di dettaglio per loro?
Grazie in anticipo,