SSH-audit: Công cụ kiểm tra bảo mật SSH cho máy chủ và máy khách

 (github.com/jtesta)
6 điểm bởi GN⁺ 2023-10-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Công cụ kiểm tra cấu hình máy chủ và máy khách SSH
  • Hỗ trợ cả máy chủ giao thức SSH1 và SSH2
  • Có thể phân tích cấu hình máy khách SSH, kiểm tra banner, nhận diện thiết bị hoặc phần mềm và hệ điều hành, đồng thời phát hiện nén
  • Thu thập các thuật toán trao đổi khóa, khóa máy chủ, mã hóa và mã xác thực thông điệp
  • Xuất thông tin về các thuật toán (được sử dụng từ khi nào, đã bị loại bỏ/vô hiệu hóa hay chưa, có thuộc loại unsafe/weak/legacy hay không, v.v.)
  • Đề xuất thuật toán (thêm hoặc loại bỏ tùy theo phiên bản phần mềm được nhận diện)
  • Xuất thông tin bảo mật (các vấn đề liên quan, danh sách CVE được gán, v.v.)
  • Phân tích khả năng tương thích phiên bản SSH dựa trên thông tin thuật toán
  • Bao gồm thông tin lịch sử của OpenSSH, Dropbear SSH và libssh
  • Kiểm tra mức độ tuân thủ cấu hình hardened/standard thông qua Policy Scan
  • Hỗ trợ Linux/Windows
  • Hỗ trợ Python 3.7 ~ 3.11
  • Không có phụ thuộc

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-17
Ý kiến Hacker News
  • Bài viết nêu bật tầm quan trọng của cấu hình máy chủ vì mục đích bảo mật, đồng thời đặt câu hỏi vì sao các cấu hình này không được đưa sẵn vào máy chủ theo mặc định.
  • Các cấu hình được nhắc đến bao gồm tạo lại và kích hoạt khóa RSA và ED25519, loại bỏ các mô-đun Diffie-Hellman nhỏ, và giới hạn các thuật toán trao đổi khóa, mã hóa và MAC được hỗ trợ.
  • Có đề xuất rằng một công cụ tương tự như SSL Test của SSL Labs nhưng dành cho SSH sẽ rất hữu ích.
  • Một người dùng chia sẻ kinh nghiệm về việc harden NixOS và cung cấp liên kết kiểm thử.
  • Một người dùng khác chỉ ra rằng việc thêm ba dòng vào sshd_config sẽ cải thiện bảo mật, nhưng Dropbear không hỗ trợ các thuật toán Encrypt-then-MAC.
  • Có người chia sẻ một biện pháp bảo mật độc đáo cho tất cả máy chủ SSH của mình: dùng khảo sát Telegram trong một nhóm riêng tư làm yếu tố thứ hai.
  • Có tranh luận về việc sử dụng các đường cong elliptic bị nghi ngờ đã bị Cơ quan An ninh Quốc gia Mỹ cài cửa hậu, trong khi một số người dùng xem điều này là hoang tưởng.
  • Có ý kiến chỉ trích các hướng dẫn harden tập trung vào mã hóa nhưng lại phớt lờ mức độ không an toàn tiềm tàng của Trust On First Use (TOFU).