SSH-audit: เครื่องมือตรวจสอบความปลอดภัย (Audit) สำหรับเซิร์ฟเวอร์และไคลเอนต์ SSH

 (github.com/jtesta)
6 คะแนน โดย GN⁺ 2023-10-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เครื่องมือสำหรับตรวจสอบการตั้งค่าเซิร์ฟเวอร์และไคลเอนต์ SSH
  • รองรับทั้งเซิร์ฟเวอร์โปรโตคอล SSH1 และ SSH2
  • สามารถวิเคราะห์การตั้งค่าไคลเอนต์ SSH, ตรวจสอบแบนเนอร์, ระบุอุปกรณ์หรือซอฟต์แวร์และระบบปฏิบัติการ, และตรวจจับการบีบอัดได้
  • รวบรวมอัลกอริทึมสำหรับการแลกเปลี่ยนกุญแจ, host key, การเข้ารหัส และ message authentication code
  • แสดงข้อมูลของอัลกอริทึม (เริ่มใช้ตั้งแต่เมื่อไร, ถูกถอดออก/ปิดใช้งานหรือไม่, จัดว่า unsafe/weak/legacy หรือไม่ เป็นต้น)
  • แนะนำอัลกอริทึม (เพิ่มหรือนำออกตามเวอร์ชันซอฟต์แวร์ที่ตรวจพบ)
  • แสดงข้อมูลด้านความปลอดภัย (ประเด็นที่เกี่ยวข้อง, รายการ CVE ที่กำหนดไว้ เป็นต้น)
  • วิเคราะห์ความเข้ากันได้ของเวอร์ชัน SSH ตามข้อมูลอัลกอริทึม
  • มีข้อมูลย้อนหลังของ OpenSSH, Dropbear SSH และ libssh
  • ตรวจสอบผ่าน Policy Scan ว่าเป็นไปตามการตั้งค่าที่เข้มงวด/มาตรฐานหรือไม่
  • รองรับ Linux/Windows
  • รองรับ Python 3.7 ~ 3.11
  • ไม่มี dependency

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-10-17
ความคิดเห็นจาก Hacker News
  • บทความเกี่ยวกับความสำคัญของการตั้งค่าเซิร์ฟเวอร์เพื่อความปลอดภัย และตั้งคำถามว่าทำไมการตั้งค่าเหล่านี้จึงไม่ได้ถูกรวมมาให้ในเซิร์ฟเวอร์โดยค่าเริ่มต้น
  • การตั้งค่าที่กล่าวถึงรวมถึงการสร้างและเปิดใช้งานคีย์ RSA และ ED25519 ใหม่, ลบ Diffie-Hellman โมดูลขนาดเล็ก, และจำกัดอัลกอริทึม key exchange, cipher และ MAC ที่รองรับ
  • มีข้อเสนอว่าเครื่องมือสำหรับ SSH ที่คล้ายกับ SSL Test ของ SSL Labs น่าจะมีประโยชน์
  • ผู้ใช้รายหนึ่งแบ่งปันประสบการณ์เกี่ยวกับการ harden NixOS และให้ลิงก์ทดสอบไว้
  • ผู้ใช้อีกรายชี้ว่าแม้จะเพิ่มเพียงสามบรรทัดใน sshd_config ก็ช่วยเพิ่มความปลอดภัยได้ แต่ Dropbear ไม่รองรับอัลกอริทึม Encrypt-then-MAC
  • มีการแชร์มาตรการความปลอดภัยแบบเฉพาะตัวสำหรับเซิร์ฟเวอร์ SSH ทั้งหมด โดยใช้โพลบน Telegram ในกลุ่มส่วนตัวเป็นปัจจัยที่สอง
  • มีการถกเถียงกันเรื่องการใช้เส้นโค้งวงรีที่ถูกสงสัยว่าอาจมี backdoor ติดตั้งโดยสำนักงานความมั่นคงแห่งชาติสหรัฐฯ ขณะที่ผู้ใช้บางคนมองว่านี่เป็นความหวาดระแวงเกินไป
  • มีคำวิจารณ์ต่อคู่มือการ harden ที่มุ่งเน้นการเข้ารหัส แต่กลับมองข้ามความไม่ปลอดภัยที่อาจเกิดขึ้นของ Trust On First Use (TOFU)