Dieser Beitrag zeigt als Beispiel für CentOS/RHEL 6 und 7, wie man die HMAC MD5 und die CBC-Chiffren deaktiviert.
Für CentOS/RHEL 7
Weitere Informationen finden Sie auf den Manpages:
# man sshd_config
Chiffren
Gibt die zulässigen Verschlüsselungen an. Mehrere Verschlüsselungen müssen durch Kommas getrennt werden. Wenn der angegebene Wert mit einem „+“-Zeichen beginnt, werden die angegebenen Chiffren an den Standardsatz angehängt, anstatt sie zu ersetzen.
Die unterstützten Chiffren sind:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com arcfour arcfour128 arcfour256 blowfish-cbc cast128-cbc chacha20-poly1305@openssh.com
Der Standardwert ist:
chacha20-poly1305@openssh.com, aes128-ctr,aes192-ctr,aes256-ctr, aes128-gcm@openssh.com,aes256-gcm@openssh.com, aes128-cbc,aes192-cbc,aes256-cbc, blowfish-cbc,cast128-cbc,3des-cbc
Die Liste der verfügbaren Chiffren kann auch mit „ssh -Q cipher“ abgerufen werden. Zum Beispiel:
# ssh -Q cipher 3des-cbc blowfish-cbc cast128-cbc arcfour arcfour128 arcfour256 aes128-cbc aes192-cbc aes256-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com
Um die CBC-Chiffren zu deaktivieren, aktualisieren Sie bitte die /etc/ssh/sshd_config mit den Chiffren, die außer den CBC-Chiffren erforderlich sind.
So deaktivieren Sie CBC:
Ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
Starten Sie den sshd-Dienst neu, nachdem die Änderungen vorgenommen wurden.
# systemctl restart sshd
MACs
MACs Gibt die verfügbaren MAC-Algorithmen (Message Authentication Code) an. Der MAC-Algorithmus wird zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen müssen durch Kommas getrennt werden. Wenn der angegebene Wert mit einem „+“-Zeichen beginnt, werden die angegebenen Algorithmen an den Standardsatz angehängt, anstatt sie zu ersetzen.
Die Algorithmen, die „-etm“ enthalten, berechnen den MAC nach der Verschlüsselung (encrypt-then-mac). Diese gelten als sicherer und ihre Verwendung wird empfohlen. Die unterstützten MACs sind:
hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 umac-64@openssh.com umac-128@openssh.com hmac-md5-etm@openssh.com hmac-md5-96-etm@openssh.com hmac-ripemd160-etm@openssh.com hmac-sha1-etm@openssh.com hmac-sha1-96-etm@openssh.com hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com umac-64-etm@openssh.com umac-128-etm@openssh.com
Der Standardwert ist:
umac-64-etm@openssh.com,umac-128-etm@openssh.com, hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com,umac-128@openssh.com, hmac-sha2-256,hmac-sha2-512,hmac-sha1, hmac-sha1-etm@openssh.com
Die Liste der verfügbaren MAC-Algorithmen kann auch mit „ssh -Q mac“ abgerufen werden. Zum Beispiel:
# ssh -Q mac hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-ripemd160@openssh.com umac-64@openssh.com umac-128@openssh.com hmac-sha1-etm@openssh.com hmac-sha1-96-etm@openssh.com hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com hmac-md5-etm@openssh.com hmac-md5-96-etm@openssh.com hmac-ripemd160-etm@openssh.com umac-64-etm@openssh.com umac-128-etm@openssh.com
Um die MAC-Algorithmen von hmac-md5 zu deaktivieren, aktualisieren Sie bitte /etc/ssh/sshd_config mit den Macs, die erforderlich sind, mit Ausnahme von hmac-md5 zum Beispiel:
MACs hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
Starten Sie den sshd-Dienst neu, nachdem die Änderungen vorgenommen wurden.
# systemctl restart sshd
Für CentOS/RHEL 6
In CentOS/RHEL 6 lauten die Befehle zum Auflisten der verfügbaren Chiffren und MACs „sshd -T | grep-Chiffren | perl -pe ‘s/,/\n/g’ | sort -u“ und „nmap -vv –script=ssh2-enum-algos.nse -p 22 localhost“:
# sshd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u nmap -vv --script=ssh2-enum-algos.nse -p 22 localhost
Weitere Informationen finden Sie auf den Manpages:
# man sshd_config
Chiffren
Gibt die für Protokollversion 2 zulässigen Verschlüsselungen an. Mehrere Verschlüsselungen müssen durch Kommas getrennt werden. Die unterstützten Chiffren sind:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr arcfour128 arcfour256 arcfour blowfish-cbc rijndael-cbc@lysator.liu.se cast128-cbc
Der Standardwert ist:
aes128-ctr aes192-ctr aes256-ctr arcfour256 arcfour128 aes128-cbc 3des-cbc blowfish-cbc cast128-cbc aes192-cbc aes256-cbc arcfour rijndael-cbc@lysator.liu.se
Um die CBC-Chiffren zu deaktivieren, aktualisieren Sie bitte /etc/ssh/sshd_config mit den erforderlichen Chiffren außer den CBC-Chiffren.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
Starten Sie den sshd-Dienst neu, nachdem die Änderungen vorgenommen wurden.
# service sshd restart
MACs
MACs Gibt die verfügbaren MAC-Algorithmen (Message Authentication Code) an. Der MAC-Algorithmus wird in Protokollversion 2 zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen müssen durch Kommas getrennt werden. Der Standardwert ist:
hmac-md5,hmac-sha1,umac-64@openssh.com, hmac-ripemd160,hmac-sha1-96,hmac-md5-96, hmac-sha2-256,hmac-sha2-512,hmac-ripemd160@openssh.com
Um die MAC-Algorithmen von hmac-md5 zu deaktivieren, aktualisieren Sie bitte /etc/ssh/sshd_config mit den Macs, die erforderlich sind, mit Ausnahme von hmac-md5 zum Beispiel:
MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160@openssh.com
Starten Sie den sshd-Dienst neu, nachdem die Änderungen vorgenommen wurden:
# service sshd restartSo deaktivieren Sie schwache Verschlüsselung und unsichere HMAC-Algorithmen in SSH-Diensten in CentOS/RHEL 8