Otázka :Jak zakázat slabé šifry a nezabezpečené algoritmy HMAC ve službách SSH v CentOS/RHEL 8?
Chcete-li deaktivovat slabé šifry a nezabezpečené algoritmy HMAC ve službách ssh v CentOS/RHEL 8, postupujte podle pokynů níže:
1. Upravte /etc/sysconfig/sshd a odkomentujte řádek CRYPTO_POLICY:
Před:
# CRYPTO_POLICY=[Original value]
Po:
CRYPTO_POLICY=[New value]
2. Ujistěte se, že do souboru /etc/ssh/sshd_config byly přidány správné šifry, MAC a KexAlgorithms.
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
3. Restartujte službu sshd:
# systemctl restart sshd
4. Chcete-li otestovat, zda jsou povoleny slabé šifry CBC, spusťte níže uvedený příkaz:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [@IP of your Server]
Pokud bude úspěšný, zobrazí výzvu k zadání hesla. To znamená, že jsou povoleny slabé šifry.
Pokud selže, měli byste obdržet zprávu jako:
Unable to negotiate withport 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
To znamená, že zmírnění fungují správně.
5. Chcete-li otestovat, zda jsou povoleny slabé algoritmy HMAC, spusťte níže uvedený příkaz:
# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected] [@IP of your Server]Jak zakázat slabé šifry a nezabezpečené algoritmy HMAC ve službách SSH pro CentOS/RHEL 6 a 7