SSH-audit: Sicherheits-Audit-Tool für SSH-Server und -Clients

 (github.com/jtesta)
6 Punkte von GN⁺ 2023-10-17 | 1 Kommentare | Auf WhatsApp teilen
  • Tool zum Auditieren von SSH-Server- und -Client-Konfigurationen
  • Unterstützt sowohl SSH1- als auch SSH2-Protokollserver
  • Kann SSH-Client-Konfigurationen analysieren, Banner prüfen, Geräte oder Software und Betriebssysteme erkennen sowie Komprimierung erkennen
  • Sammelt Algorithmen für Schlüsselaustausch, Host Keys, Verschlüsselung und Message Authentication Codes
  • Gibt Informationen zu Algorithmen aus (seit wann sie verwendet werden, ob sie entfernt/deaktiviert wurden, ob sie unsicher/schwach/veraltet sind usw.)
  • Empfehlungen für Algorithmen (je nach erkannter Softwareversion hinzufügen oder entfernen)
  • Gibt Sicherheitsinformationen aus (zugehörige Issues, zugewiesene CVE-Listen usw.)
  • Analysiert die SSH-Versionskompatibilität anhand der Algorithmusinformationen
  • Enthält historische Informationen zu OpenSSH, Dropbear SSH und libssh
  • Prüft per Policy Scan, ob gehärtete/standardisierte Konfigurationen eingehalten werden
  • Unterstützt Linux/Windows
  • Unterstützt Python 3.7 bis 3.11
  • Keine Abhängigkeiten

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-10-17
Hacker-News-Kommentare
  • Ein Artikel über die Bedeutung der Serverkonfiguration für die Sicherheit, der die Frage aufwirft, warum solche Konfigurationen nicht standardmäßig in Servern enthalten sind.
  • Zu den erwähnten Konfigurationen gehören das Neuerzeugen und Aktivieren von RSA- und ED25519-Schlüsseln, das Entfernen kleiner Diffie-Hellman-Module sowie das Einschränken der unterstützten Schlüsselaustausch-, Chiffrier- und MAC-Algorithmen.
  • Es wird vorgeschlagen, dass ein ähnliches Tool für SSH, vergleichbar mit dem SSL Test von SSL Labs, nützlich wäre.
  • Ein Nutzer teilt seine Erfahrungen mit der Absicherung von NixOS und stellt einen Test-Link bereit.
  • Ein anderer Nutzer weist darauf hin, dass sich die Sicherheit durch das Hinzufügen von drei Zeilen zu sshd_config verbessern lässt, dass Dropbear jedoch keine Encrypt-then-MAC-Algorithmen unterstützt.
  • Es wird eine besondere Sicherheitsmaßnahme für alle SSH-Server geteilt, bei der eine Telegram-Umfrage in einer privaten Gruppe als zweiter Faktor verwendet wird.
  • Es gibt eine Debatte über die Verwendung elliptischer Kurven, bei denen vermutet wird, dass sie von der US-amerikanischen National Security Agency mit Hintertüren versehen wurden; einige Nutzer halten das für Paranoia.
  • Es gibt Kritik an Härtungsleitfäden, die sich auf Verschlüsselung konzentrieren und dabei die potenzielle Unsicherheit von Trust On First Use (TOFU) ignorieren.