Konfiguration von SSH Server prüfen

Betreibt man SSH Server gibt es einen schönen Weg zu prüfen ob die Konfiguration des Servers Best Practises genügt. Mozilla hat einen Scanner ssh_scan veröffentlicht der gegen dokumentierte Kriterien prüft und Änderungen vorschlägt.

Die Installation ist unter Debian recht einfach

sudo apt-get install ruby gem
 sudo gem install ssh_scan

Ein Ergebnis kann dann zum Beispiel so aussehen (Ausschnitt) .

"compliance": {
  "policy": "Mozilla Modern",
  "compliant": false,
  "recommendations": [
    "Remove these Key Exchange Algos: diffie-hellman-group14-sha1",
    "Remove these MAC Algos: umac-64-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com, hmac-sha1"
  ],
  "references": [
    "https://wiki.mozilla.org/Security/Guidelines/OpenSSH"
  ]

Das kann man dann regelmäßig gegen seine SSH Server laufen lassen oder vielleicht mal in eine Monitoring Lösung integrieren.