Как я отключаю SSLv3 в сервере OpenSSH SSH для ухода от ПУДЕЛЯ?
awk решение намного дольше, но легче сделать это универсальным:
awk -F\; '{for(i=1;i<NF;i++)printf"%s;%s",$i,(i>=2)?"NEW;":"";print$NF}' replacefile
Возможно сделать это с sed также, делая цикл с t команда и всегда замена 2-го (или какой бы ни Вы хотите) разделитель в некоторую временную метку (обычно \n):
sed ':b;s/;/\n/2;tb;s/\n/;NEW;/g' replacefile
Это не проблема для OpenSSH, поскольку она не использует SSL.
Выдержка - В чем разница между SSL VS SSH? Что более безопасно?Они отличаются от вещей, которые находятся вокруг туннеля. Овладение Традиционно использует сертификаты X.509 для объявления сервера и клиента Общественные ключи; SSH имеет свой формат. Кроме того, SSH поставляется с набором протоколы для того, что идет внутри туннеля (мультиплексирование нескольких Переводы, выполняя аутентификацию на основе паролей в туннеле, Управление терминалом ...) пока нет такой вещи в SSL, или больше точно, когда такие вещи используются в SSL, они не считаются быть частью SSL (например, при выполнении на основе пароля http Аутентификация в SSL-туннеле, мы говорим, что она является частью «HTTPS», но Это действительно работает так похожим на то, что происходит с SSH).
концептуально вы можете взять SSH и заменить туннельную часть с помощью один из SSL. Вы также можете взять HTTPS и заменить SSL SSH-с-data-Transport и крючок для извлечения открытого ключа сервера из его сертификата. Там нет научной невозможности и, если Сделано правильно, безопасность останется прежней. Тем не менее, нет широко распространенный набор конвенций или существующих инструментов для этого.
Поскольку дальнейшие доказательства, которые я направляю вас к RFC 4253 , который обсуждает протокол транспортировки транспортного уровня Secure Shell (SSH). Это собственный пользовательский транспортный слой SSH, он не использует то же самое, что использует HTTPS / SSL.
Этот документ описывает протокол транспорта SSH, который как правило, работает сверху TCP / IP. Протокол может быть использован в качестве основы для ряда безопасных сетевых услуг. Это обеспечивает сильное Шифрование, аутентификация сервера и защита целостности. Это может Также предоставьте сжатие.
Наконец, этот Q & A от сайта SEC SE SS под названием: Уязвимость SSL3 «Пудель» , если это было сказать о нападении пуделя.
ВыдержкаАтака Пуделя работает в контексте выбранного открытого текста, как зверь и Преступление до этого. Злоумышленник заинтересован в данных, которые получают защищен SSL, и он может:
- вводить данные его до и после секретной ценности, что он хочет получить;
- Осмотрите, перехватывают и измените полученные байты на проводе.
Главный и примерно только правдоподобный сценарий, где такие условия MET - это веб-контекст: злоумышленник запускает поддельную точку доступа WiFi и Вводит какой-то JavaScript его как часть веб-страницы (HTTP, не HTTPS), что жертва братис. Злой JavaScript делает браузер Отправить запросы на сайт HTTPS (скажем, веб-сайт банка), для которого В браузере жертвы есть печенье. Атакующий хочет, чтобы печенье.
Так что нет никаких действий, которые необходимо предпринять для Openssh от этой конкретной угрозы.
Ссылки
- Как произошло пудель
- таксономию шифров / MAC / KEX, доступных в SSH?
- Безопасная конфигурация шифров / MAC / KEX доступна в SSH