Para que nuestro negocio sea compatible con PCI, debemos demostrar que no somos vulnerables a CVE-2007-2243. Esto establece que:
OpenSSH 4.6 y anteriores, cuando ChallengeResponseAuthentication está habilitado, permite a los atacantes remotos determinar la existencia de cuentas de usuario al intentar autenticarse mediante S / KEY, que muestra una respuesta diferente si la cuenta de usuario existe,
Ahora, ejecutamos CentOS y de acuerdo con la errata de seguridad de RedHat:
No es vulnerable. Los paquetes de OpenSSH que se incluyen con Red Hat Enterprise Linux no contienen soporte S / KEY.
Sin embargo, nuestro comprador no aceptará esto como prueba. En su lugar, quieren más pruebas, como los resultados de una prueba, etc.
Hemos habilitado ChallengeResponseAuthentication para usar la autenticación de dos factores, por lo que no podemos deshabilitar esto. ¿Hay una línea de comandos simple que pueda ejecutar con Putty, por ejemplo, proporcionarles un poco más de detalles?
Gracias de antemano,