sirakawa
2021年11月1日 19時08分
お世話になっております。
/etc/ssh/sshd_configに記載が無い、デフォルトの「sshdの設定内容の確認方法」をご存じの方いらっしゃいませんか?
Armadillo-420(*1)にて、セキュリティチェックツールでsshdの設定にて脆弱性(*2)が指摘されており、対策を検討しています。
インターネットで調べた限り、該当の脆弱性は/etc/ssh/sshd_configに「Ciphers」の行を追加すると対策できそうで、事実、行を追加してセキュリティチェックツールの結果に変化がありました。しかし、「対策前はこういう設定になっていて、これとこれが脆弱なのでこういう設定とする。」と対策したいのですが、現状の設定内容がわからず、困っております。インターネットで調べた限り、「ssh -Q cipher」で確認できそうだったのですがQオプション自体がありませんでした。
*1:atmark-dist-20191226、linux-3.14-at13
*2:(指摘例)
弱いアルゴリズムを使用している。
arcfour
arcfour128
arcfour256
コメント
sirakawa
入江様
情報ありがとうございます。
最初の投稿で記載を忘れていたのですが、
sshd_configファイルに
See sshd_config(5) for more information.
と記載があったのですが、manコマンドが参照できなかったため調査していました。
[root@armadillo420-0 (ttymxc1) ~]# man sshd_config man: no manual entry for 'sshd_config'
その後の調査で、以下に情報がありそうでした。
いただいた情報や、以下を元に検討してみようと思います。
atmark-dist-20191226/user/openssh/openssh-6.0p1/sshd_config.0
Ciphers Specifies the ciphers allowed for protocol version 2. Multiple ciphers must be comma-separated. The supported ciphers are ``3des-cbc'', ``aes128-cbc'', ``aes192-cbc'', ``aes256-cbc'', ``aes128-ctr'', ``aes192-ctr'', ``aes256-ctr'', ``arcfour128'', ``arcfour256'', ``arcfour'', ``blowfish-cbc'', and ``cast128-cbc''. The default is: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128, aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc, aes256-cbc,arcfour
→manコマンドの情報元になりそうなsshd_config.5にも同様の情報が記載されていそうでした。
at_akihito.irie
2021年11月9日 13時15分
入江です。
Qiitaの記事ですが以下のようなページがありました。
https://qiita.com/qiitamatumoto/items/f2a39ea93bf6741228ba
以下のコマンドでsshのデフォルト値が確認できるようです。