ssh_scan: verifica la configuración y la política de su servidor SSH en Linux

ssh_scan: verifica la configuración y la política de su servidor SSH en Linux

ssh_scan. es un escáner de políticas y configuración SSH prototipo fácil de usar para servidores Linux y UNIX, inspirado en la Guía de seguridad de Mozilla OpenSSH, que proporciona una recomendación de política de referencia razonable para parámetros de configuración SSH como Ciphers, MACs y KexAlgos y mucho más.

Tiene algunos de los siguientes beneficios:

  • Tiene dependencias mínimas, ssh_scan solo emplea Ruby nativo y BinData para hacer su trabajo, sin grandes dependencias.
  • Es portátil, puede usar ssh_scan en otro proyecto o para la automatización de tareas.
  • Es fácil de usar, simplemente apúntelo a un servicio SSH y obtenga un informe JSON de lo que admite y el estado de su política.
  • También es configurable, puede crear sus propias políticas personalizadas que se ajusten a sus requisitos de política específicos.

Lectura sugerida: Cómo instalar y C onfigure OpenSSH Server en Linux

Cómo instalar ssh_scan en Linux

Hay tres formas de instalar ssh_scan. y son:

Para instalar y ejecutar como una gema, escriba:

———–En Debian/Ubuntu———- $ sudo apt-get install ruby ​​gem $ sudo gem install ssh_scan ———–En CentOS/RHEL———– # yum install ruby ​​rubygem # gem install ssh_scan

Para ejecutar desde un contenedor docker, escriba:

# docker pull mozilla/ssh_scan # docker run-it mozilla/ssh_scan/app/bin/ssh_scan-t github.com freestar.config.enabled_slots.push

Para instalar y ejecutar desde la fuente, escribe:

# git clone https://github.com/mozilla/ssh_scan.git # cd ssh_scan # gpg2–keyserver hkp://keys.gnupg.net–recv-keys 409B6B1796C275462A1703113804BB82D39DC0E3 # curl-sSL httpsm. io | bash-s estable # rvm install 2.3.1 # rvm use 2.3.1 # gem install bundler # bundle install # ./bin/ssh_scan

Cómo usar ssh_scan en Linux

La sintaxis para usar ssh_scan es el siguiente:

$ ssh_scan-t dirección-ip $ ssh_scan-t nombre-host-servidor

Por ejemplo, para escanear las configuraciones SSH y la política del servidor 92.168.43.198. ingrese:

$ ssh_scan-t 192.168.43.198

Tenga en cuenta que también puede pasar una [IP/Rango/Nombre de host] a la opción-t como se muestra en las siguientes opciones:

$ ssh_scan-t 192.168.43.198,200,205 $ ssh_scan-t test.tecmint.lan Salida de muestra I, [2017-05-09T10: 36: 17.913644 # 7145] INFO-: Estás usando la última versión de ssh_scan 0.0.19 [“ssh_scan_version”: “0.0.19”, “ip”: “192.168.43.198”, “puerto”: 22, “server_banner”: “SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1 “,” ssh_version “: 2.0,” os “:” ubuntu “,” os_cpe “:” o: canonical: ubuntu: 16.04 “,” ssh_lib “:” openssh “,” ssh_lib_cpe “:” a: openssh: openssh: 7.2 p2 “,” cookie “:” 68b17bcca652eeaf153ed18877770a38 “,” key_algorithms “: [” [correo electrónico protegido] “,” ecdh-sha2-nistp256 “,” ecdh-sha2-nistp384 “,” ecdh-sha2-nistp-521 “,” diffie hellman-group-exchange-sha256 “,” diffie-hellman-group14-sha1 “],” server_host_key_algorithms “: [” ssh-rsa “,” rsa-sha2-512 “,” rsa-sha2-256 “,” ecdsa-sha2-nistp256 “,” ssh-ed25519 “],” encryption_algorithms_client_to_server “: [ “[email protected]”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “[email protected]”, “[email protected]”], “encryption_algorithms_server_to_client”: [“[email protected] “,” aes128-ctr “,” aes192-ctr “,” aes256-ctr “,” [email protected] “,” [email protected] “],” mac_algorithms_client_to_server “: [” [email protected] “,” [email protegido] “,” [correo electrónico protegido] “,” [correo electrónico protegido] “,” [correo electrónico protegido] “,” [correo electrónico protegido] “,” [correo electrónico protegido] “,” hmac-sha2-256 “,” hmac-sha2-512 “,” hmac-sha1 “],” mac_algorithms_server_to_client “: [” [email protected] “,” [email protected] “,” [email protected] “,” [email protected] “,” [email protected] “,” [correo electrónico protegido] “,” [correo electrónico protegido] “,” hmac-sha2-256 “,” hmac-sha2-512 “,” hmac-sha1 “],” compresión_ algoritmos_cliente_a_servidor “: [” ninguno “,” [correo electrónico protegido] “],” algoritmos_de_compresión_servidor_a_cliente “: [” ninguno “,” [correo electrónico protegido] “],” idiomas_cliente_a_servidor “: [],” idiomas_servidor_a_cliente “: [],” nombre de host ” : “tecmint”, “auth_methods”: [“clave pública”, “contraseña”], “huellas digitales”: “rsa”: “known_bad”: “false”, “md5”: “0e: d0: d7: 11: f0: 9b: f8: 33: 9c: ab: 26: 77: e5: 66: 9e: f4 “,” sha1 “:” fc: 8d: d5: a1: bf: 52: 48: a6: 7e: f9: a6: 2f: af: ca: e2: f0: 3a: 9a: b7: fa “,” sha256 “:” ff: 00: b4: a4: 40: 05: 19: 27: 7c: 33: aa: db: a6: 96: 32: 88: 8e: bf: 05: a1: 81: c0: a4: a8: 16: 01: 01: 0b: 20: 37: 81: 11 “,” start_time “:” 2017-05-09 10:36:17 +0300 “,” end_time “:” 2017-05-09 10:36:18 +0300 “,” scan_duration_seconds “: 0.221573169,” duplicate_host_key_ips “: [],” cumplimiento “: ” política “:” Mozilla Modern “,” compatible “: falso,” recom mendations “: [” Elimine estos algoritmos de intercambio de claves: diffie-hellman-group14-sha1 “,” Elimine estos algoritmos MAC: [email protected], [email protected], [email protected], hmac-sha1 “,” Elimine estas autenticaciones Métodos: contraseña “],” referencias “: [” https://wiki.mozilla.org/Security/Guidelines/OpenSSH “]]

Puede usar-p para especificar un puerto diferente,-L para habilitar el registrador y-V para definir el nivel de verbosidad como se muestra a continuación:

$ ssh_scan-t 192.168.43.198-p 22222-L ssh-scan.log-V INFO

Además, use un archivo de política personalizado (predeterminado es Mozilla Modern) con la-P o–policy [FILE] así:

$ ssh_scan-t 192.168.43.198-L ssh-scan.log-V INFO-P/ruta/a/custom/policy/file

Escriba esto para ver todas las opciones de uso de ssh_scan y más ejemplos: