Dieser Beitrag zeigt als Beispiel für CentOS/RHEL 6 und 7, wie man die HMAC MD5 und die CBC-Chiffren deaktiviert.
Für CentOS/RHEL 7
Weitere Informationen finden Sie auf den Manpages:
# man sshd_config
Chiffren
Gibt die zulässigen Verschlüsselungen an. Mehrere Verschlüsselungen müssen durch Kommas getrennt werden. Wenn der angegebene Wert mit einem „+“-Zeichen beginnt, werden die angegebenen Chiffren an den Standardsatz angehängt, anstatt sie zu ersetzen.
Die unterstützten Chiffren sind:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr [email protected] [email protected] arcfour arcfour128 arcfour256 blowfish-cbc cast128-cbc [email protected]
Der Standardwert ist:
[email protected], aes128-ctr,aes192-ctr,aes256-ctr, [email protected],[email protected], aes128-cbc,aes192-cbc,aes256-cbc, blowfish-cbc,cast128-cbc,3des-cbc
Die Liste der verfügbaren Chiffren kann auch mit „ssh -Q cipher“ abgerufen werden. Zum Beispiel:
# ssh -Q cipher 3des-cbc blowfish-cbc cast128-cbc arcfour arcfour128 arcfour256 aes128-cbc aes192-cbc aes256-cbc [email protected] aes128-ctr aes192-ctr aes256-ctr [email protected] [email protected] [email protected]
Um die CBC-Chiffren zu deaktivieren, aktualisieren Sie bitte die /etc/ssh/sshd_config mit den Chiffren, die außer den CBC-Chiffren erforderlich sind.
So deaktivieren Sie CBC:
Ciphers [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
Starten Sie den sshd-Dienst neu, nachdem die Änderungen vorgenommen wurden.
# systemctl restart sshd
MACs
MACs Gibt die verfügbaren MAC-Algorithmen (Message Authentication Code) an. Der MAC-Algorithmus wird zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen müssen durch Kommas getrennt werden. Wenn der angegebene Wert mit einem „+“-Zeichen beginnt, werden die angegebenen Algorithmen an den Standardsatz angehängt, anstatt sie zu ersetzen.
Die Algorithmen, die „-etm“ enthalten, berechnen den MAC nach der Verschlüsselung (encrypt-then-mac). Diese gelten als sicherer und ihre Verwendung wird empfohlen. Die unterstützten MACs sind:
hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Der Standardwert ist:
[email protected],[email protected], [email protected],[email protected], [email protected], [email protected],[email protected], hmac-sha2-256,hmac-sha2-512,hmac-sha1, [email protected]
Die Liste der verfügbaren MAC-Algorithmen kann auch mit „ssh -Q mac“ abgerufen werden. Zum Beispiel:
# ssh -Q mac hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-md5 hmac-md5-96 hmac-ripemd160 [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Um die MAC-Algorithmen von hmac-md5 zu deaktivieren, aktualisieren Sie bitte /etc/ssh/sshd_config mit den Macs, die erforderlich sind, mit Ausnahme von hmac-md5 zum Beispiel:
MACs [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
Starten Sie den sshd-Dienst neu, nachdem die Änderungen vorgenommen wurden.
# systemctl restart sshd
Für CentOS/RHEL 6
In CentOS/RHEL 6 lauten die Befehle zum Auflisten der verfügbaren Chiffren und MACs „sshd -T | grep-Chiffren | perl -pe ‘s/,/\n/g’ | sort -u“ und „nmap -vv –script=ssh2-enum-algos.nse -p 22 localhost“:
# sshd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u nmap -vv --script=ssh2-enum-algos.nse -p 22 localhost
Weitere Informationen finden Sie auf den Manpages:
# man sshd_config
Chiffren
Gibt die für Protokollversion 2 zulässigen Verschlüsselungen an. Mehrere Verschlüsselungen müssen durch Kommas getrennt werden. Die unterstützten Chiffren sind:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr arcfour128 arcfour256 arcfour blowfish-cbc [email protected] cast128-cbc
Der Standardwert ist:
aes128-ctr aes192-ctr aes256-ctr arcfour256 arcfour128 aes128-cbc 3des-cbc blowfish-cbc cast128-cbc aes192-cbc aes256-cbc arcfour [email protected]
Um die CBC-Chiffren zu deaktivieren, aktualisieren Sie bitte /etc/ssh/sshd_config mit den erforderlichen Chiffren außer den CBC-Chiffren.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
Starten Sie den sshd-Dienst neu, nachdem die Änderungen vorgenommen wurden.
# service sshd restart
MACs
MACs Gibt die verfügbaren MAC-Algorithmen (Message Authentication Code) an. Der MAC-Algorithmus wird in Protokollversion 2 zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen müssen durch Kommas getrennt werden. Der Standardwert ist:
hmac-md5,hmac-sha1,[email protected], hmac-ripemd160,hmac-sha1-96,hmac-md5-96, hmac-sha2-256,hmac-sha2-512,[email protected]
Um die MAC-Algorithmen von hmac-md5 zu deaktivieren, aktualisieren Sie bitte /etc/ssh/sshd_config mit den Macs, die erforderlich sind, mit Ausnahme von hmac-md5 zum Beispiel:
MACs hmac-sha1,[email protected],hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,[email protected]
Starten Sie den sshd-Dienst neu, nachdem die Änderungen vorgenommen wurden:
# service sshd restartSo deaktivieren Sie schwache Verschlüsselung und unsichere HMAC-Algorithmen in SSH-Diensten in CentOS/RHEL 8