Estoy tratando de arreglar mi configuración de SSH en Fedora y RedHat con ssh-audit .
Logré corregir los cifrados y los algoritmos configurando
KexAlgorithms diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,[email protected]
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],[email protected]
en /etc/ssh/sshd_config
La herramienta de auditoría aún se queja de las claves de host que deben volver a generarse:
# host-key algorithms
[...]
(key) ecdsa-sha2-nistp256 -- [fail] using weak elliptic curves
'- [warn] using weak random number generator could reveal the key
'- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62
[...]
# algorithm recommendations (for OpenSSH 7.9)
(rec) -ecdsa-sha2-nistp256 -- key algorithm to remove
Luego recreé los módulos Diffie-Hellman y generé nuevas claves
rm -fv /etc/ssh/ssh_host_*
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
cp moduli-2048 /etc/ssh/moduli
ssh-keygen -A
La herramienta de auditoría todavía se queja. ¿Cómo podría usar un mejor generador de números aleatorios? ¿Puedo excluir ecdsa-sha2-nistp256 por la generación de claves?