[Linux-sunucu] Re: SSH ayarları

[Yiğit ALİŞAN]

Hocam link ve bilgiler için çok teşekkür ederim.

5 Şubat 2018 11:32 tarihinde Adil İLHAN  yazdı:

> 5 Şubat 2018 10:30 tarihinde Yiğit ALİŞAN  yazdı:
>
> > yukarıdaki kodlar ile baktığımızda da bazen cipher yada macs için şuanda
> kırılabilen
> > hmac-sha1,hmac-ripemd160 ve diffie-helman-sha1 algoritmaları
> > kullanılabiliyor.
>
> https://www.openssh.com/legacy.html
>
> "OpenSSH supports this method, but ***does not enable it by default***
> because is weak and within theoretical range of the so-called Logjam
> attack."
>
>
> --
> Adil İlhan
>
> http://www.adililhan.com
> ___
> Linux-sunucu E-Posta Listesi
> Linux-sunucu@liste.linux.org.tr
>
> Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından
> okuyabilirsiniz;
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: SSH ayarları

[Adil İLHAN]

5 Şubat 2018 10:30 tarihinde Yiğit ALİŞAN  yazdı:

> yukarıdaki kodlar ile baktığımızda da bazen cipher yada macs için şuanda 
> kırılabilen
> hmac-sha1,hmac-ripemd160 ve diffie-helman-sha1 algoritmaları
> kullanılabiliyor.

https://www.openssh.com/legacy.html

"OpenSSH supports this method, but ***does not enable it by default***
because is weak and within theoretical range of the so-called Logjam
attack."


-- 
Adil İlhan

http://www.adililhan.com
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: SSH ayarları

[Yiğit ALİŞAN]

Öncelikle çok teşekkürler, en sonunda kısaltmaların anlamını sayenizde
öğrenebildim. Evet protokol 2 ile bağlantı yapıyorum fakat yukarıdaki
kodlar ile baktığımızda da bazen cipher yada macs için şuanda kırılabilen
hmac-sha1,hmac-ripemd160 ve diffie-helman-sha1 algoritmaları
kullanılabiliyor. Bu nedenle genelde sıkılaştırma işleminde desteklenen
algoritmalar arasından bunları çıkarıp geri kalanları aynı bırakıyorum.

Çok teşekkürler, iyi çalışmalar.

5 Şubat 2018 10:11 tarihinde Adil İLHAN  yazdı:

> Eray Abi'nin dediklerini katılmakla beraber:
>
> 5 Şubat 2018 09:44 tarihinde Eray Aslan  yazdı:
> > On Sun, Feb 04, 2018 at 11:31:18AM +0300, Yiğit ALİŞAN wrote:
>
> > Fazla calisiyorsunuz
>
> + 1
>
> > Aciksa da cipher,mac vs ile ugrasmak yerine sshd_config'de Protocol
> opsiyonundan 1'i kaldirmaniz yeterli.
>
> Client'ta da ssh_config'in içindeki Ciphers variable'ı ile ctos
> düzenlenebilir. Server da eğer uygun cipher varsa aynı sonucu
> dönecektir (stoc). Ama değiştirmenize gerek yok.
>
> Tanımlı algoritmaları şöyle görebilirsiniz (key, kex karıştırılıyor
> genelde. Açıklamaları yanlarında):
>
> ssh -Q key (kullanılabilir public key tipleri, ssh-rsa vs.)
> ssh -Q kex (kullanılabilir key exchange algoritmaları, aes, blowfish vs.)
> ssh -Q cipher
> ssh -Q mac
>
> --
> Adil İlhan
>
> http://www.adililhan.com
> ___
> Linux-sunucu E-Posta Listesi
> Linux-sunucu@liste.linux.org.tr
>
> Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından
> okuyabilirsiniz;
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: SSH ayarları

[Adil İLHAN]

Eray Abi'nin dediklerini katılmakla beraber:

5 Şubat 2018 09:44 tarihinde Eray Aslan  yazdı:
> On Sun, Feb 04, 2018 at 11:31:18AM +0300, Yiğit ALİŞAN wrote:

> Fazla calisiyorsunuz

+ 1

> Aciksa da cipher,mac vs ile ugrasmak yerine sshd_config'de Protocol 
> opsiyonundan 1'i kaldirmaniz yeterli.

Client'ta da ssh_config'in içindeki Ciphers variable'ı ile ctos
düzenlenebilir. Server da eğer uygun cipher varsa aynı sonucu
dönecektir (stoc). Ama değiştirmenize gerek yok.

Tanımlı algoritmaları şöyle görebilirsiniz (key, kex karıştırılıyor
genelde. Açıklamaları yanlarında):

ssh -Q key (kullanılabilir public key tipleri, ssh-rsa vs.)
ssh -Q kex (kullanılabilir key exchange algoritmaları, aes, blowfish vs.)
ssh -Q cipher
ssh -Q mac

-- 
Adil İlhan

http://www.adililhan.com
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: SSH ayarları

[Adil İLHAN]

4 Şubat 2018 11:31 tarihinde Yiğit ALİŞAN  yazdı:
> kısaltmaların tam olarak ne olduğunu bulamadım (ctos ve stoc kısaltmaları).

ctos: client-to-server
stoc: server-to-client

-- 
Adil İlhan

http://www.adililhan.com
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: SSH ayarları

[Eray Aslan]

On Sun, Feb 04, 2018 at 11:31:18AM +0300, Yiğit ALİŞAN wrote:
> Sistemim üzerindeki open ssh programında cipher,mac,kexalgorithms kısımları
> üzerinde kullanılan şifreleme algoritmalarını düzenliyordum

Fazla calisiyorsunuz

> protokol 1 için hala desteklenen eski algoritmaların kullanılmasını önlemek
> için).

Ozellikle acmadiysaniz protocol 1 cok uzun zamandir default kapali.
Aciksa da cipher,mac vs ile ugrasmak yerine sshd_config'de Protocol
opsiyonundan 1'i kaldirmaniz yeterli.  cipher vs ile ugrasarak kendinize
zarar verme ihtimaliniz yuksek.  Yeni guvenlik acigi ciktiginda ne
yapacaksiniz?  Veya yeni cipher geldiginde.  Compatibility de problemli
olabilir.  Birakin default kalsinlar.  Default ayarlari duzgun
seciliyor.

Nispeten yeni versiyon bir openssh'iniz varsa, protocol 1'i zaten enable
edemezsiniz.  Kodu kaldirildi.

client to server
server to client

-- 
Eray
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu