Auteur Sujet: Comment cacher la version de SSH qui est donnée avant la connexion ? (Lu 7801 fois)

vivien · « **le:** 02 mai 2014 à 12:06:21 »

Je cherche a cacher la version de SSH...

$ telnet 192.168.1.8 22 Trying 192.168.1.8... Connected to 192.168.1.8. Escape character is '^]'. SSH-2.0-OpenSSH_6.6p1 Ubuntu-2ubuntu1

SSH-2.0-OpenSSH_6.6p1 est une signature qui permet de savoir précisèment que c'est UbuntuServer 14.04
Je cherche à ce que cela ne s'affiche pas.

mirtouf · « **Réponse #1 le:** 02 mai 2014 à 12:42:33 »

Sans recompiler ou bidouiller l'exécutable c'est mission impossible. Le serveur annonce sa version pour pouvoir correspondre malgré diverses mauvaises implèmentations, bugs ou autres modification du protocole au fil de versions.
http://www.openssh.com/faq.html#2.14

vivien · « **Réponse #2 le:** 02 mai 2014 à 13:02:32 »

Je trouve cela dommage : il est possible d'afficher les possibilités (type protocole 2.0) sans afficher la version complète.

Marin · « **Réponse #3 le:** 02 mai 2014 à 13:27:36 »

Bien sûr ça paraît un peu plus propre, mais est-ce que ça apporte réellement de la sécurité ?

Un pirate aurait-il beaucoup plus de mal à utiliser un logiciel de fingerprinting pour identifier autrement la version d'OpenSSH ?

BadMax · « **Réponse #4 le:** 02 mai 2014 à 14:11:59 »

Disons qu'il y a une différence entre voir la version d'OpenSSH et connaitre la distribution exacte installée.

corrector · « **Réponse #5 le:** 02 mai 2014 à 14:18:43 »

Et ça :

Banner The contents of the specified file are sent to the remote user before authentication is allowed. If the argument is ``none'' then no banner is displayed. This option is only available for protocol version 2. By default, no banner is displayed.
http://www.openssh.com/cgi-bin/man.cgi?query=sshd_config

vivien · « **Réponse #6 le:** 02 mai 2014 à 14:27:26 »

Je suppose qu'il doit y avoir des tableaux tout prêts de ce type :
- SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu3 => Ubuntu 8.04 LTS
- SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.3 => Ubuntu 12.04 LTS
- SSH-2.0-OpenSSH_6.2p2 Ubuntu-6ubuntu0.3 => Ubuntu 13.10
- SSH-2.0-OpenSSH_6.6p1 Ubuntu-2ubuntu1 => Ubuntu 14.04 LTS
- SSH-2.0-OpenSSH_6.0p1 Debian-4+deb7u1 => Debian 7

Cela permet d'avoir les versions des autres logiciels, par exemple Apache qui est souvent caché :

- Ubuntu 7.04 : Apache 2.2.3 + Noyeau 2.6.20 + PHP 5.2.1 + MySQL 5.0.38
- Ubuntu 7.10 : Apache 2.2.4 + Noyau 2.6.22 + PHP 5.2.3 + MySQL 5.0.45
- Ubuntu 8.04 LTS : Apache 2.2.8 + Noyau 2.6.24 + PHP 5.2.4
- Ubuntu 8.10 : Apache 2.2.9 + Noyau 2.6.27 + PHP 5.2.6 + MySQL 5.0.67
- Ubuntu 9.10 : Apache 2.2.12 + Noyau 2.6.31 + PHP 5.2.10 + MySQL 5.1.37
- Ubuntu 10.04 LTS : Apache 2.2.14 + Noyau 2.6.32 + PHP 5.3.2
- Ubuntu 12.04 LTS : Apache 2.2.22 + Noyau 3.2 + PHP 5.3.10
- Ubuntu 13.10 : Apache 2.4.6 + Noyau 3.11 + 5.5.3 + MySQL 5.5.37
- Ubuntu 14.04 LTS : Apache 2.4.7 + Noyau 3.13 + PHP 5.5.9 + MySQL 5.5.37
- CentOS 6 : Apache 2.2.15

thenico · « **Réponse #7 le:** 02 mai 2014 à 14:27:37 »

corrector, c'est autre chose ça.

Pour enlever ce qui suit le OpenSSH_a.bpc, il faut éditer le fichier debian/rules :

Code: [Sélectionner]

SSH_EXTRAVERSION := $(DISTRIBUTION)-$(shell dpkg-parsechangelog | sed -n -e '/^Version:/s/Version: //p' | sed -e 's/[^-]*-//')

Remplacer cette ligne par

Code: [Sélectionner]

SSH_EXTRAVERSION := ''

corrector · « **Réponse #8 le:** 02 mai 2014 à 14:45:53 »

Citation de: thenico le 02 mai 2014 à 14:27:37

corrector, c'est autre chose ça.

Je ne comprends pas à quoi sert Banner.

vivien · « **Réponse #9 le:** 02 mai 2014 à 15:46:11 »

Quel fichier .rules ?

J'ai testé les deux commandes ci-dessous pour le localiser sans sucés :
cat /lib/udev/rules.d/* | grep -i ssh
locate rules | grep -i ssh

mirtouf · « **Réponse #10 le:** 02 mai 2014 à 16:46:59 »

Le fichier rules en question est celui-ci dans le paquet source qui sert à incorporer des informations additionnelles pour compiler le paquet Debian.

cali · « **Réponse #11 le:** 02 mai 2014 à 17:08:32 »

Ce que tu veux faire est une très mauvaise idée et je ne vois pas l’intérêt mais tu peux toujours localiser la chaîne de caractères dans l’exécutable et la changer par ce que tu veux.