Armadilloフォーラム

sshdのデフォルト設定確認方法

sirakawa

2021年11月1日 19時08分

お世話になっております。
/etc/ssh/sshd_configに記載が無い、デフォルトの「sshdの設定内容の確認方法」をご存じの方いらっしゃいませんか?

Armadillo-420(*1)にて、セキュリティチェックツールでsshdの設定にて脆弱性(*2)が指摘されており、対策を検討しています。
インターネットで調べた限り、該当の脆弱性は/etc/ssh/sshd_configに「Ciphers」の行を追加すると対策できそうで、事実、行を追加してセキュリティチェックツールの結果に変化がありました。しかし、「対策前はこういう設定になっていて、これとこれが脆弱なのでこういう設定とする。」と対策したいのですが、現状の設定内容がわからず、困っております。インターネットで調べた限り、「ssh -Q cipher」で確認できそうだったのですがQオプション自体がありませんでした。

*1:atmark-dist-20191226、linux-3.14-at13
*2:(指摘例)
  弱いアルゴリズムを使用している。
  arcfour
  arcfour128
  arcfour256

コメント

at_akihito.irie

2021年11月9日 13時15分

入江です。

Qiitaの記事ですが以下のようなページがありました。
https://qiita.com/qiitamatumoto/items/f2a39ea93bf6741228ba

以下のコマンドでsshのデフォルト値が確認できるようです。

[armadillo]# sshd -T -f /dev/null

sirakawa

2021年11月9日 16時57分

入江様
情報ありがとうございます。

最初の投稿で記載を忘れていたのですが、
sshd_configファイルに

See sshd_config(5) for more information.

と記載があったのですが、manコマンドが参照できなかったため調査していました。

[root@armadillo420-0 (ttymxc1) ~]# man sshd_config
man: no manual entry for 'sshd_config'

その後の調査で、以下に情報がありそうでした。
いただいた情報や、以下を元に検討してみようと思います。

atmark-dist-20191226/user/openssh/openssh-6.0p1/sshd_config.0

	     Ciphers
	             Specifies the ciphers allowed for protocol version 2.  Multiple
	             ciphers must be comma-separated.  The supported ciphers are
	             ``3des-cbc'', ``aes128-cbc'', ``aes192-cbc'', ``aes256-cbc'',
	             ``aes128-ctr'', ``aes192-ctr'', ``aes256-ctr'', ``arcfour128'',
	             ``arcfour256'', ``arcfour'', ``blowfish-cbc'', and
	             ``cast128-cbc''.  The default is:
 
	                aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
	                aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
                        aes256-cbc,arcfour

→manコマンドの情報元になりそうなsshd_config.5にも同様の情報が記載されていそうでした。