[Linux-sunucu] Re: SSH ayarları
Hocam link ve bilgiler için çok teşekkür ederim. 5 Şubat 2018 11:32 tarihinde Adil İLHANyazdı: > 5 Şubat 2018 10:30 tarihinde Yiğit ALİŞAN yazdı: > > > yukarıdaki kodlar ile baktığımızda da bazen cipher yada macs için şuanda > kırılabilen > > hmac-sha1,hmac-ripemd160 ve diffie-helman-sha1 algoritmaları > > kullanılabiliyor. > > https://www.openssh.com/legacy.html > > "OpenSSH supports this method, but ***does not enable it by default*** > because is weak and within theoretical range of the so-called Logjam > attack." > > > -- > Adil İlhan > > http://www.adililhan.com > ___ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: SSH ayarları
5 Şubat 2018 10:30 tarihinde Yiğit ALİŞANyazdı: > yukarıdaki kodlar ile baktığımızda da bazen cipher yada macs için şuanda > kırılabilen > hmac-sha1,hmac-ripemd160 ve diffie-helman-sha1 algoritmaları > kullanılabiliyor. https://www.openssh.com/legacy.html "OpenSSH supports this method, but ***does not enable it by default*** because is weak and within theoretical range of the so-called Logjam attack." -- Adil İlhan http://www.adililhan.com ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: SSH ayarları
Öncelikle çok teşekkürler, en sonunda kısaltmaların anlamını sayenizde öğrenebildim. Evet protokol 2 ile bağlantı yapıyorum fakat yukarıdaki kodlar ile baktığımızda da bazen cipher yada macs için şuanda kırılabilen hmac-sha1,hmac-ripemd160 ve diffie-helman-sha1 algoritmaları kullanılabiliyor. Bu nedenle genelde sıkılaştırma işleminde desteklenen algoritmalar arasından bunları çıkarıp geri kalanları aynı bırakıyorum. Çok teşekkürler, iyi çalışmalar. 5 Şubat 2018 10:11 tarihinde Adil İLHANyazdı: > Eray Abi'nin dediklerini katılmakla beraber: > > 5 Şubat 2018 09:44 tarihinde Eray Aslan yazdı: > > On Sun, Feb 04, 2018 at 11:31:18AM +0300, Yiğit ALİŞAN wrote: > > > Fazla calisiyorsunuz > > + 1 > > > Aciksa da cipher,mac vs ile ugrasmak yerine sshd_config'de Protocol > opsiyonundan 1'i kaldirmaniz yeterli. > > Client'ta da ssh_config'in içindeki Ciphers variable'ı ile ctos > düzenlenebilir. Server da eğer uygun cipher varsa aynı sonucu > dönecektir (stoc). Ama değiştirmenize gerek yok. > > Tanımlı algoritmaları şöyle görebilirsiniz (key, kex karıştırılıyor > genelde. Açıklamaları yanlarında): > > ssh -Q key (kullanılabilir public key tipleri, ssh-rsa vs.) > ssh -Q kex (kullanılabilir key exchange algoritmaları, aes, blowfish vs.) > ssh -Q cipher > ssh -Q mac > > -- > Adil İlhan > > http://www.adililhan.com > ___ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: SSH ayarları
Eray Abi'nin dediklerini katılmakla beraber: 5 Şubat 2018 09:44 tarihinde Eray Aslanyazdı: > On Sun, Feb 04, 2018 at 11:31:18AM +0300, Yiğit ALİŞAN wrote: > Fazla calisiyorsunuz + 1 > Aciksa da cipher,mac vs ile ugrasmak yerine sshd_config'de Protocol > opsiyonundan 1'i kaldirmaniz yeterli. Client'ta da ssh_config'in içindeki Ciphers variable'ı ile ctos düzenlenebilir. Server da eğer uygun cipher varsa aynı sonucu dönecektir (stoc). Ama değiştirmenize gerek yok. Tanımlı algoritmaları şöyle görebilirsiniz (key, kex karıştırılıyor genelde. Açıklamaları yanlarında): ssh -Q key (kullanılabilir public key tipleri, ssh-rsa vs.) ssh -Q kex (kullanılabilir key exchange algoritmaları, aes, blowfish vs.) ssh -Q cipher ssh -Q mac -- Adil İlhan http://www.adililhan.com ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: SSH ayarları
4 Şubat 2018 11:31 tarihinde Yiğit ALİŞANyazdı: > kısaltmaların tam olarak ne olduğunu bulamadım (ctos ve stoc kısaltmaları). ctos: client-to-server stoc: server-to-client -- Adil İlhan http://www.adililhan.com ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: SSH ayarları
On Sun, Feb 04, 2018 at 11:31:18AM +0300, Yiğit ALİŞAN wrote: > Sistemim üzerindeki open ssh programında cipher,mac,kexalgorithms kısımları > üzerinde kullanılan şifreleme algoritmalarını düzenliyordum Fazla calisiyorsunuz > protokol 1 için hala desteklenen eski algoritmaların kullanılmasını önlemek > için). Ozellikle acmadiysaniz protocol 1 cok uzun zamandir default kapali. Aciksa da cipher,mac vs ile ugrasmak yerine sshd_config'de Protocol opsiyonundan 1'i kaldirmaniz yeterli. cipher vs ile ugrasarak kendinize zarar verme ihtimaliniz yuksek. Yeni guvenlik acigi ciktiginda ne yapacaksiniz? Veya yeni cipher geldiginde. Compatibility de problemli olabilir. Birakin default kalsinlar. Default ayarlari duzgun seciliyor. Nispeten yeni versiyon bir openssh'iniz varsa, protocol 1'i zaten enable edemezsiniz. Kodu kaldirildi. client to server server to client -- Eray ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu