SSH-audit: SSHサーバーおよびクライアントのセキュリティ監査ツール

 (github.com/jtesta)
6 ポイント 投稿者 GN⁺ 2023-10-17 | 1件のコメント | WhatsAppで共有
  • SSHサーバーおよびクライアント構成を監査するツール
  • SSH1およびSSH2プロトコルサーバーの両方をサポート
  • SSHクライアント構成を分析し、バナー確認やデバイスまたはソフトウェアとOSの識別、圧縮の検出が可能
  • 鍵交換、ホスト鍵、暗号化およびメッセージ認証コードのアルゴリズムを収集
  • アルゴリズムに関する情報を出力(いつから使用されているか、削除/無効化されたか、unsafe/weak/legacyかどうか など)
  • アルゴリズムを推奨(認識されたソフトウェアのバージョンに応じて追加または削除)
  • セキュリティ情報を出力(関連イシュー、割り当てられたCVE一覧など)
  • アルゴリズム情報に基づくSSHバージョン互換性の分析
  • OpenSSH、Dropbear SSH、libsshの履歴情報を含む
  • Policy Scanにより、強化済み/標準構成に準拠しているかを確認
  • Linux/Windowsをサポート
  • Python 3.7〜3.11をサポート
  • 依存関係なし

関連記事

1件のコメント

 
GN⁺ 2023-10-17
Hacker News の意見
  • セキュリティのためのサーバー構成の重要性に関する記事であり、なぜこのような構成が標準でサーバーに含まれていないのかという疑問が提起されている。
  • 言及されている構成には、RSA および ED25519 キーの再生成と有効化、小さな Diffie-Hellman モジュールの削除、サポートする鍵交換・暗号・MAC アルゴリズムの制限が含まれる。
  • SSL Labs の SSL Test と比較して、SSH 向けにも同様のツールがあると有益だろうという提案がある。
  • あるユーザーは NixOS のハードニングに関する経験を共有し、テスト用リンクを提供している。
  • 別のユーザーは sshd_config に 3 行追加することでセキュリティを向上できるとしつつ、Dropbear は Encrypt-then-MAC アルゴリズムをサポートしていないと指摘している。
  • Telegram の投票を非公開グループ内で第2要素として使い、すべての SSH サーバーに対する独自のセキュリティ対策を共有している。
  • 米国家安全保障局によってバックドアが仕込まれたと疑われる楕円曲線の使用をめぐる議論があり、一部のユーザーはそれを被害妄想だと見なしている。
  • Trust On First Use (TOFU) の潜在的な危険性を無視しつつ暗号化に焦点を当てたハードニングガイドに対する批判がある。