मैं मैक, सिफर्स, और केएक्सलायोरिद्म की एक सूची कैसे पा सकता हूं जो मेरे ओपनशेड क्लाइंट का समर्थन करता है?

49

sshक्या एमएसीएस, सिपहर्स, और केएक्सऑलगोरिथम जो इसे सपोर्ट करता है, उसे आउटपुट करने का एक तरीका है?

मैं स्रोत को देखने के बजाय गतिशील रूप से पता लगाना चाहूंगा।

ssh openssh

7

तुम भी दूर से हाल के साथ अपने समर्थित सिफर के लिए एक ssh सर्वर की जांच कर सकते हैं nmap संस्करणों:nmap --script ssh2-enum-algos -sV -p <port> <host>

— Eckes

56

प्रासंगिक ओपनएसएसएच मैन पेज: https://man.openbsd.org/ssh#Q

Ciphers: ssh -Q cipher
MACs: ssh -Q mac
KexAlgorithms: ssh -Q kex
PubkeyAcceptedKeyTypes: ssh -Q key

— एन एल यू
स्रोत

मुझे पता था कि यह पागल लग रहा था कि मैं इसे नहीं पा सकता।

— कॉलिन डीन

8

ऐसा लगता है कि यह संस्करण> = 6.x(या निश्चित रूप से उपलब्ध नहीं है 5.9) से उपलब्ध है ।

— पाविक

8

पुराने ओपनएसएसएच संस्करणों पर, बहुत बदसूरत तरीका है:strings /usr/sbin/sshd |grep mac

— गर्ट वैन डेन बर्ग

4

विशेष रूप से, संस्करण 6.3-Q में पेश किया गया था ।

— जजलिन

19

आप हाल ही में दिए गए नैम्प संस्करणों के साथ अपने समर्थित सिफर के लिए एक ssh सर्वर की भी जांच कर सकते हैं:

nmap --script ssh2-enum-algos -sV -p <port> <host>

और एक ऑनलाइन सेवा sshcheck.comभी है (और बहुत बड़ी संख्या में इसी तरह की स्कैनर परियोजनाओं के रूप में मुझे अभी पता चला है)।

— Eckes
स्रोत

1

बस एक त्वरित टिप कि अगर आप 2 सर्वरों की तुलना करना चाहते हैं तो आप इस तरह से @eckes विधि का उपयोग कर सकते हैं:

$ sdiff -bW <(nmap --script ssh2-enum-algos -sV -p 22 192.168.1.107) <(nmap --script ssh2-enum-algos -sV -p 22 192.168.1.10)

Starting Nmap 6.47 ( http://nmap.org ) at 2018-01-22 22:35 ES   Starting Nmap 6.47 ( http://nmap.org ) at 2018-01-22 22:35 ES
Nmap scan report for skinner.bubba.net (192.168.1.107)        | Nmap scan report for mulder.bubba.net (192.168.1.10)
Host is up (0.0037s latency).                                 | Host is up (0.0031s latency).
PORT   STATE SERVICE VERSION                                    PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 4.3 (protocol 2.0)               | 22/tcp open  ssh     OpenSSH 5.3 (protocol 2.0)
| ssh2-enum-algos:                                              | ssh2-enum-algos:
|   kex_algorithms: (3)                                       | |   kex_algorithms: (4)
                                                              > |       diffie-hellman-group-exchange-sha256
|       diffie-hellman-group-exchange-sha1                      |       diffie-hellman-group-exchange-sha1
|       diffie-hellman-group14-sha1                             |       diffie-hellman-group14-sha1
|       diffie-hellman-group1-sha1                              |       diffie-hellman-group1-sha1
|   server_host_key_algorithms: (2)                             |   server_host_key_algorithms: (2)
|       ssh-rsa                                                 |       ssh-rsa
|       ssh-dss                                                 |       ssh-dss
|   encryption_algorithms: (13)                                 |   encryption_algorithms: (13)
|       aes128-ctr                                              |       aes128-ctr
|       aes192-ctr                                              |       aes192-ctr
|       aes256-ctr                                              |       aes256-ctr
|       arcfour256                                              |       arcfour256
|       arcfour128                                              |       arcfour128
|       aes128-cbc                                              |       aes128-cbc
|       3des-cbc                                                |       3des-cbc
|       blowfish-cbc                                            |       blowfish-cbc
|       cast128-cbc                                             |       cast128-cbc
|       aes192-cbc                                              |       aes192-cbc
|       aes256-cbc                                              |       aes256-cbc
|       arcfour                                                 |       arcfour
|       rijndael-cbc@lysator.liu.se                             |       rijndael-cbc@lysator.liu.se
|   mac_algorithms: (6)                                       | |   mac_algorithms: (9)
|       hmac-md5                                                |       hmac-md5
|       hmac-sha1                                               |       hmac-sha1
                                                              > |       umac-64@openssh.com
                                                              > |       hmac-sha2-256
                                                              > |       hmac-sha2-512
|       hmac-ripemd160                                          |       hmac-ripemd160
|       hmac-ripemd160@openssh.com                              |       hmac-ripemd160@openssh.com
|       hmac-sha1-96                                            |       hmac-sha1-96
|       hmac-md5-96                                             |       hmac-md5-96
|   compression_algorithms: (2)                                 |   compression_algorithms: (2)
|       none                                                    |       none
|_      zlib@openssh.com                                        |_      zlib@openssh.com

Service detection performed. Please report any incorrect resu   Service detection performed. Please report any incorrect resu
Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds   | Nmap done: 1 IP address (1 host up) scanned in 0.22 seconds

ऊपर मैं एक CentOS 5.x और 6.x सर्वर के साइड-बाय-साइड अंतर दिखा रहा हूँ।

$ ssh root@192.168.1.107 cat /etc/redhat-release
CentOS release 5.11 (Final)
$ ssh root@192.168.1.10 cat /etc/redhat-release
CentOS release 6.8 (Final)

आउटपुट आपको दिखाता है कि आपके पास CentOS 6.x सर्वर बनाम 5.x में 4 अतिरिक्त लाइनें हैं।

आउटपुट पढ़ना

1 अतिरिक्त kex_algorithm है:

Diffie-Hellman-समूह-विनिमय-SHA256

3 अतिरिक्त mac_algorithms:

umac-64@openssh.com
HMAC-sha2-256
HMAC-sha2-512

— SLM
स्रोत

0

OpenSSH के पुराने संस्करणों में से कुछ -Q विकल्प का समर्थन नहीं करते हैं, इसलिए यह किसी भी ssh के लिए काम करता है और इसमें क्लाइंट और सर्वर दोनों विकल्पों को दिखाने का लाभ है , किसी भी 3-rd पार्टी उपकरण जैसे nmap की आवश्यकता नहीं है:

ssh -vvv username@servername

"स्थानीय क्लाइंट KEXINIT प्रस्ताव" के लिए आउटपुट स्कैन करें और आप देखेंगे कि ग्राहक द्वारा ciphers और KEX algos और MAC क्या समर्थित हैं।

"सहकर्मी सर्वर KEXINIT प्रस्ताव" आपको दिखाएगा कि सर्वर क्या समर्थन करता है।

...
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,ext-info-c
debug2: host key algorithms: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
...
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1
debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ssh-rsa,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com
debug2: compression stoc: none,zlib@openssh.com
...

— arainchi
स्रोत