SSH-audit: Alat audit keamanan untuk server dan klien SSH

 (github.com/jtesta)
6 poin oleh GN⁺ 2023-10-17 | 1 komentar | Bagikan ke WhatsApp
  • Alat untuk mengaudit konfigurasi server dan klien SSH
  • Mendukung server protokol SSH1 dan SSH2
  • Dapat menganalisis konfigurasi klien SSH, memeriksa banner, mengenali perangkat atau perangkat lunak dan sistem operasi, serta mendeteksi kompresi
  • Mengumpulkan algoritme pertukaran kunci, kunci host, enkripsi, dan message authentication code
  • Menampilkan informasi tentang algoritme (sejak kapan digunakan, apakah sudah dihapus/dinonaktifkan, apakah termasuk unsafe/weak/legacy, dll.)
  • Rekomendasi algoritme (penambahan atau penghapusan berdasarkan versi perangkat lunak yang terdeteksi)
  • Menampilkan informasi keamanan (isu terkait, daftar CVE yang dialokasikan, dll.)
  • Analisis kompatibilitas versi SSH berdasarkan informasi algoritme
  • Mencakup informasi historis OpenSSH, Dropbear SSH, dan libssh
  • Memeriksa kepatuhan terhadap konfigurasi hardened/standar melalui Policy Scan
  • Mendukung Linux/Windows
  • Mendukung Python 3.7 ~ 3.11
  • Tanpa dependensi

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-17
Komentar Hacker News
  • Artikel tentang pentingnya konfigurasi server untuk keamanan, yang mempertanyakan mengapa konfigurasi semacam ini secara default tidak disertakan pada server.
  • Konfigurasi yang disebutkan mencakup membuat ulang dan mengaktifkan kunci RSA dan ED25519, menghapus modul Diffie-Hellman kecil, serta membatasi pertukaran kunci, cipher, dan algoritma MAC yang didukung.
  • Ada usulan bahwa alat serupa untuk SSH akan bermanfaat, dibandingkan dengan SSL Test dari SSL Labs.
  • Seorang pengguna membagikan pengalamannya dalam hardening NixOS dan memberikan tautan pengujian.
  • Pengguna lain menunjukkan bahwa menambahkan tiga baris ke sshd_config dapat meningkatkan keamanan, tetapi Dropbear tidak mendukung algoritma Encrypt-then-MAC.
  • Ada yang membagikan langkah keamanan unik untuk semua server SSH mereka dengan menggunakan jajak pendapat Telegram di grup privat sebagai faktor kedua.
  • Ada perdebatan tentang penggunaan kurva eliptik yang dicurigai telah dipasangi backdoor oleh Badan Keamanan Nasional Amerika Serikat, dan beberapa pengguna menganggapnya sebagai paranoia.
  • Ada kritik terhadap panduan hardening yang berfokus pada enkripsi sambil mengabaikan potensi ketidakamanan dari Trust On First Use (TOFU).