web-dev-qa-db-ja.com

SSHハンドシェイク中にサーバーが自己紹介します-自己表現を変更することでセキュリティが向上しますか?

私の Archlinux 実行中のデバイスは、sshハンドシェイクの実行中に自身を表示しません。

$ telnet 192.168.1.151 11735
Trying 192.168.1.151...
Connected to 192.168.1.151.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.4

ただし Raspribian

# telnet 1.2.3.4 1234
Trying 1.2.3.4...
Connected to 1.2.3.4.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3

または buntu Server 16.04 LTS

# telnet 4.3.2.1 4321
Trying 4.3.2.1...
Connected to 4.3.2.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1

彼らは握手中に自己紹介します。

ハンドシェイク中に自分自身を表示しないようにシステムを構成すると、セキュリティが向上しますか?

(ソフトウェアとバージョンに関する知識により、潜在的なセキュリティホールの検索を絞り込むことができるため、そうだと思います)

はい、sshハンドシェイク中にサーバーのOSバージョンを導入しないようにサーバーを構成する方法は? (または、他の人として紹介して、潜在的な敵を混乱させることもできますか?)

ハンドシェイク中に自分自身を表示しないようにシステムを構成すると、セキュリティが向上しますか?

はい。サービスのフィンガープリントは、攻撃者が脆弱なシステムを特定するための最初のステップです。 OSのバージョンの詳細をアドバタイズしないことをお勧めします。

sshハンドシェイク中にサーバーのOSバージョンを導入しないようにサーバーを構成する方法

/etc/ssh/sshd_configVersionAddendumエントリをnoneまたはカスタム値に設定できます。

VersionAddendum none

(後でSSHデーモンを必ず再起動してください。)

4
Arminius

ハンドシェイク中に自分自身を表示しないようにシステムを構成すると、セキュリティが向上しますか?

Debianメンテナ によれば、そうではありません。彼らは、上流の(OpenBSD)開発者によって提供されるものの上に、システムに関する詳細情報を示す追加情報を追加しています。

  • OpenSSHのポータブルバージョン(OpenBSDではない)であると言うバージョンの後にp1を追加しています。これは、プライバシーを向上させるための13年前の ポータブルOpenSSHから削除 でした。
  • Raspbian-5+deb8u3などの内部バージョン番号を追加しています。理由は次のとおりです。

    これにより、セキュリティの脆弱性に対してパッチが適用されたバージョンのネットワークを監査しやすくなります。

私はDebianの帽子をかぶっていませんし、上記のことには完全には同意していませんが、彼らはポイントを持っています。

  • 私たちがOpenBSDでないことを明かすことは、システムがDebianであるのと同じように、ほとんどの場合役に立たない最小限の情報です。

  • 特定のDebianバージョンは、非常に大きなセキュリティホールがない限り、通常あまり役に立ちません。

  • 他のほとんどのサービスは同様の情報を送信していますが、それでもほとんどのサーバーは公共向けインターネットでそれらの多くを実行しています。メールサーバー、Webサーバー、FTPサーバーから同様のHELOを取得できます。そのため、バージョンを世界に向けて発信するもう1つのサービスは、全体的なセキュリティを低下させません。

1
Jakuje