Удалить идентифицирующую информацию из SSH

Question

Удалить идентифицирующую информацию из SSH

Когда я делаю nmap -sV 127.0.0.1 -p 22 моей системы я получаю следующую информацию:

SF-Port22-TCP: V = 4,62% I=7%D=11/9% Время =4916402C%P=i686-pc-linux-gnu%r(NULL,2 SF:7,"SSH-2.0-OpenSSH_5.1p1\x20Debian-3ubuntu1\ г \ п ");

Как мне объединить эти две части информации? i686-pc-linux-gnu а также SSH-2\.0-OpenSSH_5\.1p1\x20Debian-3ubuntu1,

1

ssh security

Источник

Rook 26 апр '10 в 20:56

3 ответа

Решение

Вы не можете удалить его (легко / безопасно), он является частью протокола SSH и используется для определения, какая версия SSH поддерживается sshd и должна быть оставлена там, где она есть. Тем не менее, вы можете использовать ваш любимый шестнадцатеричный редактор, чтобы изменить строку на другую строку равной длины. Вам понадобится как минимум: SSH-2.0 присутствует. Я действительно не рекомендую вам делать это, вы сломаете контрольную сумму для вашего sshd, и она будет заменяться всякий раз, когда вы обновляете свой пакет sshd. Повторное изменение ничего не даст.

Telnetting на порт 22 покажет эту информацию также:

$ telnet localhost 22
Trying ::1...
Connected to localhost.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu3

2

Источник

davey 26 апр '10 в 21:20

NMAP определяет эту информацию на основе определенного количества догадок. Если ваш SSHD вообще отвечает на запрос NMAP, то NMAP проверит этот ответ по своей базе данных и угадает, какую систему вы используете.

Зонды довольно сложные; например, он может попробовать несколько вариантов инициирования соединения SSH через порт, чтобы увидеть, какие версии распознаются. Он может попытаться спровоцировать сообщение об ошибке или просто проверить экран "привет".

Самый надежный способ заблокировать зонды NMAP - это просто заблокировать все зонды NMAP вместе на брандмауэре и серверы белого списка, которым разрешено использовать SSH на ваших машинах.

-1

Источник

Satanicpuppy 26 апр '10 в 21:18

Другие вопросы по тегам ssh security

Kyle Brandt 26 апр '10 в 22:39 2010-04-26 22:39 · Accepted Answer · 2010-04-26 22:39

Я думаю, что попытка удалить заголовок не лучший способ добавить немного безопасности здесь. Все, что на самом деле было бы - это безопасность через мрачность, которая не так уж много значит.

Вместо этого я бы посоветовал вам заглянуть в порт. Это описано для Linux в этой статье. Я скорее думаю, что ваша параноидальная сторона будет довольна этим. По сути, сканирование показало бы, что порт закрыт, если только сканер не попытался сканировать определенные порты в определенном порядке (так сказать, секретный стук).

Вы также можете заблокировать людей, которые демонстрируют поведение сканирования, что некоторые из решений, упомянутых в этом сообщении о сбое сервера.