SSH-audit: SSH sunucuları ve istemcileri için güvenlik denetimi (audit) aracı

 (github.com/jtesta)
6 puan yazan GN⁺ 2023-10-17 | 1 yorum | WhatsApp'ta paylaş
  • SSH sunucusu ve istemci yapılandırmalarını denetleyen araç
  • Hem SSH1 hem de SSH2 protokol sunucularını destekler
  • SSH istemci yapılandırmalarını analiz edebilir, banner doğrulaması yapabilir, cihazı veya yazılımı ve işletim sistemini tanıyabilir ve sıkıştırmayı tespit edebilir
  • Anahtar değişimi, host anahtarları, şifreleme ve mesaj kimlik doğrulama kodu algoritmalarını toplar
  • Algoritmalar hakkında bilgi çıktısı verir (ne zamandan beri kullanıldıkları, kaldırılıp kaldırılmadıkları/devre dışı bırakılıp bırakılmadıkları, unsafe/weak/legacy olup olmadıkları vb.)
  • Algoritma önerileri sunar (tespit edilen yazılım sürümüne göre ekleme veya kaldırma)
  • Güvenlik bilgisi çıktısı verir (ilgili sorunlar, atanmış CVE listeleri vb.)
  • Algoritma bilgilerine göre SSH sürüm uyumluluğu analizi
  • OpenSSH, Dropbear SSH ve libssh için tarihsel bilgiler içerir
  • Policy Scan ile sıkılaştırılmış/standart yapılandırmalara uyulup uyulmadığını kontrol eder
  • Linux/Windows desteği
  • Python 3.7 ~ 3.11 desteği
  • Bağımlılık yok

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-17
Hacker News yorumları
  • Sunucu yapılandırmasının güvenlik için önemine dair bir yazı; varsayılan olarak bu tür yapılandırmaların neden sunucuya dahil edilmediğini sorguluyor.
  • Bahsedilen yapılandırmalar arasında RSA ve ED25519 anahtarlarının yeniden üretilip etkinleştirilmesi, küçük Diffie-Hellman modüllerinin kaldırılması ve desteklenen anahtar değişimi, şifreleme ve MAC algoritmalarının sınırlandırılması yer alıyor.
  • SSL Labs’ın SSL Test aracına benzer şekilde, SSH için de benzer bir aracın faydalı olacağı öneriliyor.
  • Bir kullanıcı, NixOS hardening konusundaki deneyimini paylaşıyor ve test bağlantısı veriyor.
  • Başka bir kullanıcı, sshd_config dosyasına üç satır ekleyerek güvenliğin artırılabileceğini, ancak Dropbear’ın Encrypt-then-MAC algoritmalarını desteklemediğini belirtiyor.
  • Tüm SSH sunucuları için, özel bir gruptaki Telegram anketini ikinci faktör olarak kullanan sıra dışı bir güvenlik önlemi paylaşılıyor.
  • ABD Ulusal Güvenlik Ajansı tarafından arka kapı yerleştirildiğinden şüphelenilen eliptik eğrilerin kullanımı üzerine bir tartışma var; bazı kullanıcılar bunu paranoya olarak görüyor.
  • Trust On First Use (TOFU) yaklaşımının potansiyel güvensizliğini görmezden gelirken şifrelemeye odaklanan hardening rehberleri eleştiriliyor.