Claves de host SSH seguras

1

Estoy tratando de arreglar mi configuración de SSH en Fedora y RedHat con ssh-audit .

Logré corregir los cifrados y los algoritmos configurando

KexAlgorithms diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,[email protected]
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],[email protected]

en /etc/ssh/sshd_config

La herramienta de auditoría aún se queja de las claves de host que deben volver a generarse:

# host-key algorithms
[...]
(key) ecdsa-sha2-nistp256            -- [fail] using weak elliptic curves
                                     '- [warn] using weak random number generator could reveal the key
                                     '- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62
[...]
# algorithm recommendations (for OpenSSH 7.9)
(rec) -ecdsa-sha2-nistp256           -- key algorithm to remove 

Luego recreé los módulos Diffie-Hellman y generé nuevas claves

rm -fv /etc/ssh/ssh_host_*
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
cp moduli-2048 /etc/ssh/moduli
ssh-keygen -A

La herramienta de auditoría todavía se queja. ¿Cómo podría usar un mejor generador de números aleatorios? ¿Puedo excluir ecdsa-sha2-nistp256 por la generación de claves?

    
pregunta Matteo 16.11.2018 - 13:37
fuente

1 respuesta

1

Todas las curvas utilizadas por las claves ECDSA se consideran débiles. Simplemente elimine los archivos ssh_host_ecdsa_key y ssh_host_ecdsa_key.pub sin reemplazarlos, y / o comente las entradas para ellos en sshd_config . Los únicos tipos de claves que vale la pena tener son RSA y Ed25519, y usted ya debería tenerlas.

    
respondido por el Joseph Sible 16.11.2018 - 14:15
fuente

Lea otras preguntas en las etiquetas