Tento příspěvek ukáže, jak deaktivovat šifry HMAC MD5 a CBC jako příklad pro CentOS/RHEL 6 a 7.
Pro CentOS/RHEL 7
Pro více informací se prosím podívejte na manuálové stránky:
# man sshd_config
Šifry
Určuje povolené šifry. Více šifer musí být oddělené čárkou. Pokud zadaná hodnota začíná znakem „+“, budou zadané šifry připojeny k výchozí sadě namísto jejich nahrazení.
Podporované šifry jsou:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr [email protected] [email protected] arcfour arcfour128 arcfour256 blowfish-cbc cast128-cbc [email protected]
Výchozí hodnota je:
[email protected], aes128-ctr,aes192-ctr,aes256-ctr, [email protected],[email protected], aes128-cbc,aes192-cbc,aes256-cbc, blowfish-cbc,cast128-cbc,3des-cbc
Seznam dostupných šifer lze také získat pomocí šifry „ssh -Q cipher“. Například:
# ssh -Q cipher 3des-cbc blowfish-cbc cast128-cbc arcfour arcfour128 arcfour256 aes128-cbc aes192-cbc aes256-cbc [email protected] aes128-ctr aes192-ctr aes256-ctr [email protected] [email protected] [email protected]
Chcete-li deaktivovat šifry CBC, aktualizujte soubor /etc/ssh/sshd_config se šiframi, které jsou vyžadovány, kromě šifer CBC.
Zakázání CBC:
Ciphers [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
Po provedení změn restartujte službu sshd.
# systemctl restart sshd
MAC
MAC Specifikuje dostupné algoritmy MAC (kód pro ověření zprávy). Algoritmus MAC se používá pro ochranu integrity dat. Více algoritmů musí být odděleno čárkami. Pokud zadaná hodnota začíná znakem „+“, budou zadané algoritmy místo nahrazení připojeny k výchozí sadě.
Algoritmy, které obsahují „-etm“, vypočítají MAC po zašifrování (encrypt-then-mac). Ty jsou považovány za bezpečnější a jejich použití je doporučeno. Podporované adresy MAC jsou:
hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Výchozí hodnota je:
[email protected],[email protected], [email protected],[email protected], [email protected], [email protected],[email protected], hmac-sha2-256,hmac-sha2-512,hmac-sha1, [email protected]
Seznam dostupných MAC algoritmů lze také získat pomocí „ssh -Q mac“. Například:
# ssh -Q mac hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-md5 hmac-md5-96 hmac-ripemd160 [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Chcete-li deaktivovat algoritmy hmac-md5 MACs, aktualizujte /etc/ssh/sshd_config pomocí počítačů Mac, které jsou vyžadovány kromě hmac-md5 pro ecamle:
MACs [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
Po provedení změn restartujte službu sshd.
# systemctl restart sshd
Pro CentOS/RHEL 6
V CentOS/RHEL 6 jsou příkazy pro výpis dostupných šifer a MAC „sshd -T | grep šifry | perl -pe ‘s/,/\n/g’ | sort -u” a “nmap -vv –script=ssh2-enum-algos.nse -p 22 localhost”:
# sshd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u nmap -vv --script=ssh2-enum-algos.nse -p 22 localhost
Pro více informací se prosím podívejte na manuálové stránky:
# man sshd_config
Šifry
Určuje šifry povolené pro protokol verze 2. Více šifer musí být odděleno čárkou. Podporované šifry jsou:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr arcfour128 arcfour256 arcfour blowfish-cbc [email protected] cast128-cbc
Výchozí hodnota je:
aes128-ctr aes192-ctr aes256-ctr arcfour256 arcfour128 aes128-cbc 3des-cbc blowfish-cbc cast128-cbc aes192-cbc aes256-cbc arcfour [email protected]
Chcete-li deaktivovat šifry CBC, aktualizujte /etc/ssh/sshd_config šiframi, které jsou vyžadovány, kromě šifer CBC.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
Po provedení změn restartujte službu sshd.
# service sshd restart
MAC
MAC Specifikuje dostupné algoritmy MAC (kód pro ověření zprávy). Algoritmus MAC se používá v protokolu verze 2 pro ochranu integrity dat. Více algoritmů musí být odděleno čárkami. Výchozí hodnota je:
hmac-md5,hmac-sha1,[email protected], hmac-ripemd160,hmac-sha1-96,hmac-md5-96, hmac-sha2-256,hmac-sha2-512,[email protected]
Chcete-li deaktivovat algoritmy hmac-md5 MACs, aktualizujte /etc/ssh/sshd_config pomocí počítačů Mac, které jsou vyžadovány kromě hmac-md5 pro ecamle:
MACs hmac-sha1,[email protected],hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,[email protected]
Po provedení změn restartujte službu sshd:
# service sshd restartJak zakázat slabé šifry a nezabezpečené algoritmy HMAC ve službách SSH v CentOS/RHEL 8