SSHハンドシェイク中にサーバーが自己紹介します-自己表現を変更することでセキュリティが向上しますか？

Question

私の Archlinux 実行中のデバイスは、sshハンドシェイクの実行中に自身を表示しません。

$ telnet 192.168.1.151 11735 Trying 192.168.1.151... Connected to 192.168.1.151. Escape character is '^]'. SSH-2.0-OpenSSH_7.4

# telnet 1.2.3.4 1234 Trying 1.2.3.4... Connected to 1.2.3.4. Escape character is '^]'. SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3

# telnet 4.3.2.1 4321 Trying 4.3.2.1... Connected to 4.3.2.1. Escape character is '^]'. SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1

彼らは握手中に自己紹介します。

ハンドシェイク中に自分自身を表示しないようにシステムを構成すると、セキュリティが向上しますか？

（ソフトウェアとバージョンに関する知識により、潜在的なセキュリティホールの検索を絞り込むことができるため、そうだと思います）

はい、sshハンドシェイク中にサーバーのOSバージョンを導入しないようにサーバーを構成する方法は？（または、他の人として紹介して、潜在的な敵を混乱させることもできますか？）

Arminius · Accepted Answer

ハンドシェイク中に自分自身を表示しないようにシステムを構成すると、セキュリティが向上しますか？

はい。サービスのフィンガープリントは、攻撃者が脆弱なシステムを特定するための最初のステップです。 OSのバージョンの詳細をアドバタイズしないことをお勧めします。

sshハンドシェイク中にサーバーのOSバージョンを導入しないようにサーバーを構成する方法

/etc/ssh/sshd_config VersionAddendumエントリをnoneまたはカスタム値に設定できます。

VersionAddendum none

（後でSSHデーモンを必ず再起動してください。）

Jakuje · Answer

ハンドシェイク中に自分自身を表示しないようにシステムを構成すると、セキュリティが向上しますか？

Debianメンテナによれば、そうではありません。彼らは、上流の（OpenBSD）開発者によって提供されるものの上に、システムに関する詳細情報を示す追加情報を追加しています。

私はDebianの帽子をかぶっていませんし、上記のことには完全には同意していませんが、彼らはポイントを持っています。

私たちがOpenBSDでないことを明かすことは、システムがDebianであるのと同じように、ほとんどの場合役に立たない最小限の情報です。
特定のDebianバージョンは、非常に大きなセキュリティホールがない限り、通常あまり役に立ちません。
他のほとんどのサービスは同様の情報を送信していますが、それでもほとんどのサーバーは公共向けインターネットでそれらの多くを実行しています。メールサーバー、Webサーバー、FTPサーバーから同様のHELOを取得できます。そのため、バージョンを世界に向けて発信するもう1つのサービスは、全体的なセキュリティを低下させません。