j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de
la version (comme on peut le faire avec un certain nombre d'autres serveur).
Est-ce possible (je n'ai rien vu dans les pages man) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
VANHULLEBUS Yvan
GERBIER Eric writes:
bonjour
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de la version (comme on peut le faire avec un certain nombre d'autres serveur). Est-ce possible (je n'ai rien vu dans les pages man) ?
J'ai pas regarde sur les versions les plus recentes, mais il y a encore pas longtemps, pour faire ca, fallait patcher le source (voire patcher le binaire, un peu plus sauvage mais ca fonctionne aussi).
Attention par contre a ne pas trop "epurer", le protocole exige quand meme un minimum (sshd et une version de protocole, de memoire, mais a verifier).
question subsidiaire : est-ce utile ?
Ca peut servir pour reduir son profil visible, c'est pas ca qui va etre la base de toute la securite du serveur, et s'il y a une faille, il faut toujours la corriger, mais ca fait partie de ces infos "causantes" des serveurs qui ne servent qu'a faciliter un peu le boulot d'un attaquant potentiel, donc autant les virer !
A +
VANHU.
GERBIER Eric <eric_nospam_gerbier@meteo.fr> writes:
bonjour
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher"
l'affichage de
la version (comme on peut le faire avec un certain nombre d'autres
serveur).
Est-ce possible (je n'ai rien vu dans les pages man) ?
J'ai pas regarde sur les versions les plus recentes, mais il y a
encore pas longtemps, pour faire ca, fallait patcher le source (voire
patcher le binaire, un peu plus sauvage mais ca fonctionne aussi).
Attention par contre a ne pas trop "epurer", le protocole exige quand
meme un minimum (sshd et une version de protocole, de memoire, mais a
verifier).
question subsidiaire : est-ce utile ?
Ca peut servir pour reduir son profil visible, c'est pas ca qui va
etre la base de toute la securite du serveur, et s'il y a une faille,
il faut toujours la corriger, mais ca fait partie de ces infos
"causantes" des serveurs qui ne servent qu'a faciliter un peu le
boulot d'un attaquant potentiel, donc autant les virer !
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de la version (comme on peut le faire avec un certain nombre d'autres serveur). Est-ce possible (je n'ai rien vu dans les pages man) ?
J'ai pas regarde sur les versions les plus recentes, mais il y a encore pas longtemps, pour faire ca, fallait patcher le source (voire patcher le binaire, un peu plus sauvage mais ca fonctionne aussi).
Attention par contre a ne pas trop "epurer", le protocole exige quand meme un minimum (sshd et une version de protocole, de memoire, mais a verifier).
question subsidiaire : est-ce utile ?
Ca peut servir pour reduir son profil visible, c'est pas ca qui va etre la base de toute la securite du serveur, et s'il y a une faille, il faut toujours la corriger, mais ca fait partie de ces infos "causantes" des serveurs qui ne servent qu'a faciliter un peu le boulot d'un attaquant potentiel, donc autant les virer !
A +
VANHU.
Tbo
GERBIER Eric a écrit:
bonjour
hi,
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de la version (comme on peut le faire avec un certain nombre d'autres serveur). Est-ce possible (je n'ai rien vu dans les pages man) ?
édite le source openssh-3.x/version.h
Change ==> #define SSH_VERSION "OpenSSH_3.x"
Par ==> #define SSH_VERSION "ce que tu veux :-)"
recompile et réinstall les binaires.
question subsidiaire : est-ce utile ? oui, c'est une sécurisation complémentaire ,tu ne donneras pas d'infos
sur la version en écoute. Mais il faut aussi blinder le reste.
GERBIER Eric <eric_nospam_gerbier@meteo.fr> a écrit:
bonjour
hi,
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de
la version (comme on peut le faire avec un certain nombre d'autres serveur).
Est-ce possible (je n'ai rien vu dans les pages man) ?
édite le source openssh-3.x/version.h
Change ==> #define SSH_VERSION "OpenSSH_3.x"
Par ==> #define SSH_VERSION "ce que tu veux :-)"
recompile et réinstall les binaires.
question subsidiaire : est-ce utile ?
oui, c'est une sécurisation complémentaire ,tu ne donneras pas d'infos
sur la version en écoute.
Mais il faut aussi blinder le reste.
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de la version (comme on peut le faire avec un certain nombre d'autres serveur). Est-ce possible (je n'ai rien vu dans les pages man) ?
édite le source openssh-3.x/version.h
Change ==> #define SSH_VERSION "OpenSSH_3.x"
Par ==> #define SSH_VERSION "ce que tu veux :-)"
recompile et réinstall les binaires.
question subsidiaire : est-ce utile ? oui, c'est une sécurisation complémentaire ,tu ne donneras pas d'infos
sur la version en écoute. Mais il faut aussi blinder le reste.
Nicob
On Wed, 18 Aug 2004 13:32:28 +0000, VANHULLEBUS Yvan wrote:
J'ai pas regarde sur les versions les plus recentes, mais il y a encore pas longtemps, pour faire ca, fallait patcher le source (voire patcher le binaire, un peu plus sauvage mais ca fonctionne aussi).
Patcher le binaire, je trouve ça élégant. Comme ça, on peut garder son OpenSSH tiré des paquets de la distrib employée, et il y a juste à re-patcher à chaque upgrade (plutôt qu'avoir à recompiler)
ca fait partie de ces infos "causantes" des serveurs qui ne servent qu'a faciliter un peu le boulot d'un attaquant potentiel, donc autant les virer !
Ca permet d'identifier les versions en place, mais aussi les distribs employés, puis de faire tout plein de déductions sur la gestion des patchs.
Nicob
On Wed, 18 Aug 2004 13:32:28 +0000, VANHULLEBUS Yvan wrote:
J'ai pas regarde sur les versions les plus recentes, mais il y a
encore pas longtemps, pour faire ca, fallait patcher le source (voire
patcher le binaire, un peu plus sauvage mais ca fonctionne aussi).
Patcher le binaire, je trouve ça élégant. Comme ça, on peut garder son
OpenSSH tiré des paquets de la distrib employée, et il y a juste à
re-patcher à chaque upgrade (plutôt qu'avoir à recompiler)
ca fait partie de ces infos "causantes" des serveurs qui ne servent
qu'a faciliter un peu le boulot d'un attaquant potentiel, donc autant
les virer !
Ca permet d'identifier les versions en place, mais aussi les distribs
employés, puis de faire tout plein de déductions sur la gestion des
patchs.
On Wed, 18 Aug 2004 13:32:28 +0000, VANHULLEBUS Yvan wrote:
J'ai pas regarde sur les versions les plus recentes, mais il y a encore pas longtemps, pour faire ca, fallait patcher le source (voire patcher le binaire, un peu plus sauvage mais ca fonctionne aussi).
Patcher le binaire, je trouve ça élégant. Comme ça, on peut garder son OpenSSH tiré des paquets de la distrib employée, et il y a juste à re-patcher à chaque upgrade (plutôt qu'avoir à recompiler)
ca fait partie de ces infos "causantes" des serveurs qui ne servent qu'a faciliter un peu le boulot d'un attaquant potentiel, donc autant les virer !
Ca permet d'identifier les versions en place, mais aussi les distribs employés, puis de faire tout plein de déductions sur la gestion des patchs.
Nicob
Michel Arboi
On Wed Aug 18 2004 at 23:17, Nicob wrote:
Patcher le binaire, je trouve ça élégant. Comme ça, on peut garder son OpenSSH tiré des paquets de la distrib employée, et il y a juste à re-patcher à chaque upgrade (plutôt qu'avoir à recompiler)
Je pensais à une autre bidouille : coller un petit proxy devant. Mais si on touche à la bannière SSH, le client échoue avec hash mismatch key_verify failed for server_host_key
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/ NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/
On Wed Aug 18 2004 at 23:17, Nicob wrote:
Patcher le binaire, je trouve ça élégant. Comme ça, on peut garder son
OpenSSH tiré des paquets de la distrib employée, et il y a juste à
re-patcher à chaque upgrade (plutôt qu'avoir à recompiler)
Je pensais à une autre bidouille : coller un petit proxy devant.
Mais si on touche à la bannière SSH, le client échoue avec
hash mismatch
key_verify failed for server_host_key
Patcher le binaire, je trouve ça élégant. Comme ça, on peut garder son OpenSSH tiré des paquets de la distrib employée, et il y a juste à re-patcher à chaque upgrade (plutôt qu'avoir à recompiler)
Je pensais à une autre bidouille : coller un petit proxy devant. Mais si on touche à la bannière SSH, le client échoue avec hash mismatch key_verify failed for server_host_key
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/ NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/
yann.lejeune
GERBIER Eric wrote in message news:<cfvh3a$a3l$...
bonjour
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de la version (comme on peut le faire avec un certain nombre d'autres serveur). Est-ce possible (je n'ai rien vu dans les pages man) ?
question subsidiaire : est-ce utile ?
Si c'est à propos de la banniere qui s'affiche a la connection : Dans le fichier de config de sshd (normalement /etc/ssh/sshd_config) tu as une ligne du style Banner /chemin/vers/le/fichier/banniere tu commentes la ligne ou tu modifie le fichier.
GERBIER Eric <eric_nospam_gerbier@meteo.fr> wrote in message news:<cfvh3a$a3l$1@sxcom1.cnrm.meteo.fr>...
bonjour
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de
la version (comme on peut le faire avec un certain nombre d'autres serveur).
Est-ce possible (je n'ai rien vu dans les pages man) ?
question subsidiaire : est-ce utile ?
Si c'est à propos de la banniere qui s'affiche a la connection : Dans le
fichier de config de sshd (normalement /etc/ssh/sshd_config) tu as une
ligne du style
Banner /chemin/vers/le/fichier/banniere tu commentes la ligne ou tu
modifie le fichier.
GERBIER Eric wrote in message news:<cfvh3a$a3l$...
bonjour
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de la version (comme on peut le faire avec un certain nombre d'autres serveur). Est-ce possible (je n'ai rien vu dans les pages man) ?
question subsidiaire : est-ce utile ?
Si c'est à propos de la banniere qui s'affiche a la connection : Dans le fichier de config de sshd (normalement /etc/ssh/sshd_config) tu as une ligne du style Banner /chemin/vers/le/fichier/banniere tu commentes la ligne ou tu modifie le fichier.
GERBIER Eric
yann lejeune wrote:
GERBIER Eric wrote in message news:<cfvh3a$a3l$...
bonjour
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de la version (comme on peut le faire avec un certain nombre d'autres serveur). Est-ce possible (je n'ai rien vu dans les pages man) ?
question subsidiaire : est-ce utile ?
Si c'est à propos de la banniere qui s'affiche a la connection : Dans le fichier de config de sshd (normalement /etc/ssh/sshd_config) tu as une ligne du style Banner /chemin/vers/le/fichier/banniere tu commentes la ligne ou tu modifie le fichier.
dans la config par defaut (man sshd_config) cette option n'est pas activee et ne renvoie donc aucune information. on peut y mettre un /etc/issue si l'on veut, mais les informations de versions ssh restent.
ce que je decrivais comme info, c'est ce que l'on obtient avec un simple :
telnet localhost 22 Trying 127.0.0.1...
Connected to localhost.cnrm.meteo.fr (127.0.0.1). Escape character is '^]'. SSH-1.99-OpenSSH_3.6.1p2
la seule solution semble donc etre un patchage binaire, mais ca reste imparfait:
telnet localhost 22 Trying 127.0.0.1...
Connected to localhost.cnrm.meteo.fr (127.0.0.1). Escape character is '^]'. SSH-1.99-OpenSSH_x.x.xpx
GERBIER Eric <eric_nospam_gerbier@meteo.fr> wrote in message news:<cfvh3a$a3l$1@sxcom1.cnrm.meteo.fr>...
bonjour
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de
la version (comme on peut le faire avec un certain nombre d'autres serveur).
Est-ce possible (je n'ai rien vu dans les pages man) ?
question subsidiaire : est-ce utile ?
Si c'est à propos de la banniere qui s'affiche a la connection : Dans le
fichier de config de sshd (normalement /etc/ssh/sshd_config) tu as une
ligne du style
Banner /chemin/vers/le/fichier/banniere tu commentes la ligne ou tu
modifie le fichier.
dans la config par defaut (man sshd_config) cette option n'est pas activee
et ne renvoie donc aucune information. on peut y mettre un /etc/issue si l'on
veut, mais les informations de versions ssh restent.
ce que je decrivais comme info, c'est ce que l'on obtient avec un simple :
telnet localhost 22
Trying 127.0.0.1...
Connected to localhost.cnrm.meteo.fr (127.0.0.1).
Escape character is '^]'.
SSH-1.99-OpenSSH_3.6.1p2
la seule solution semble donc etre un patchage binaire, mais ca reste imparfait:
telnet localhost 22
Trying 127.0.0.1...
Connected to localhost.cnrm.meteo.fr (127.0.0.1).
Escape character is '^]'.
SSH-1.99-OpenSSH_x.x.xpx
GERBIER Eric wrote in message news:<cfvh3a$a3l$...
bonjour
j'utilise opennssh (3.6.1p2) sous linux, et je voudrais "cacher" l'affichage de la version (comme on peut le faire avec un certain nombre d'autres serveur). Est-ce possible (je n'ai rien vu dans les pages man) ?
question subsidiaire : est-ce utile ?
Si c'est à propos de la banniere qui s'affiche a la connection : Dans le fichier de config de sshd (normalement /etc/ssh/sshd_config) tu as une ligne du style Banner /chemin/vers/le/fichier/banniere tu commentes la ligne ou tu modifie le fichier.
dans la config par defaut (man sshd_config) cette option n'est pas activee et ne renvoie donc aucune information. on peut y mettre un /etc/issue si l'on veut, mais les informations de versions ssh restent.
ce que je decrivais comme info, c'est ce que l'on obtient avec un simple :
telnet localhost 22 Trying 127.0.0.1...
Connected to localhost.cnrm.meteo.fr (127.0.0.1). Escape character is '^]'. SSH-1.99-OpenSSH_3.6.1p2
la seule solution semble donc etre un patchage binaire, mais ca reste imparfait:
telnet localhost 22 Trying 127.0.0.1...
Connected to localhost.cnrm.meteo.fr (127.0.0.1). Escape character is '^]'. SSH-1.99-OpenSSH_x.x.xpx
