Frage :Wie deaktiviere ich schwache Verschlüsselung und unsichere HMAC-Algorithmen in SSH-Diensten in CentOS/RHEL 8?
Um schwache Chiffren und unsichere HMAC-Algorithmen in SSH-Diensten in CentOS/RHEL 8 zu deaktivieren, befolgen Sie bitte die nachstehenden Anweisungen:
1. Bearbeiten Sie /etc/sysconfig/sshd und kommentieren Sie die CRYPTO_POLICY-Zeile aus:
Vorher:
# CRYPTO_POLICY=[Original value]
Nachher:
CRYPTO_POLICY=[New value]
2. Stellen Sie sicher, dass die richtigen Ciphers, MACs und KexAlgorithms zur Datei /etc/ssh/sshd_config hinzugefügt wurden.
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
3. Starten Sie den sshd-Dienst neu:
# systemctl restart sshd
4. Um zu testen, ob schwache CBC-Chiffren aktiviert sind, führen Sie den folgenden Befehl aus:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [@IP of your Server]
Bei Erfolg wird nach einem Passwort gefragt. Dies bedeutet, dass schwache Chiffren aktiviert sind.
Wenn dies fehlschlägt, sollten Sie eine Nachricht wie diese erhalten:
Unable to negotiate withport 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
Dies bedeutet, dass die Schadensbegrenzungen ordnungsgemäß funktionieren.
5. Um zu testen, ob schwache HMAC-Algorithmen aktiviert sind, führen Sie den folgenden Befehl aus:
# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected] [@IP of your Server]So deaktivieren Sie schwache Verschlüsselung und unsichere HMAC-Algorithmen in SSH-Diensten für CentOS/RHEL 6 und 7