Nessus-Schwachstellen-Scanner gemeldet – SSH-Weak-Key-Exchange-Algorithmen aktiviert und SSH-Server-CBC-Modus-Chiffren aktiviert. Die detaillierte Nachricht deutete darauf hin, dass der SSH-Server Schlüsselaustauschalgorithmen zulässt, die als schwach gelten und die Cipher Block Chaining (CBC)-Verschlüsselung unterstützen, die es einem Angreifer ermöglichen könnte, den Klartext aus dem Chiffretext wiederherzustellen. Nun, in diesem Tutorial geht es darum, wie man schwache Schlüsselaustauschalgorithmen und den CBC-Verschlüsselungsmodus im SSH-Server auf CentOS Stream 8 deaktiviert.
Unten sind die Screenshots direkt aus dem Nessus-Bericht.
So deaktivieren Sie den schwachen Schlüsselaustauschalgorithmus und den CBC-Modus in SSH
Schritt 1: Bearbeiten Sie /etc/sysconfig/sshd und kommentieren Sie die folgende Zeile aus.
#CRYPTO_POLICY=
zu
CRYPTO_POLICY=
Dadurch lehnen Sie die vom Server festgelegten Kryptorichtlinien ab. Wenn Sie die systemweiten Kryptorichtlinien verwenden möchten, sollten Sie CRYPTO_POLICY= kommentieren und verwenden Sie update-crypto-policies Befehl zum Aktivieren/Deaktivieren von Richtlinien. Erfahren Sie mehr über Crypto-Richtlinien.
Schritt 2 :Kopieren Sie die folgenden Chiffren, MACs und KexAlgorithms nach /etc/ssh/sshd_config .
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
Schritt 3: Überprüfen Sie die Konfigurationsdatei, bevor Sie den SSH-Server neu starten.
sshd -t
Schritt 4: Wenn keine Fehler gemeldet werden, starten Sie den SSHD-Dienst neu.
# systemctl restart sshd
Schritt 5: Testen Sie schwache CBC-Chiffren, indem Sie den folgenden Befehl ausführen.
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
Zum Beispiel:
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: [email protected],[email protected],aes256-ctr debug2: ciphers stoc: [email protected],[email protected],aes256-ctr debug2: MACs ctos: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: MACs stoc: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: compression ctos: none,[email protected] debug2: compression stoc: none,[email protected] debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
Der obige Fehler bedeutet, dass die schwachen Chiffren deaktiviert sind. Falls Sie die Passwortabfrage sehen, bedeutet dies, dass schwache Verschlüsselungen aktiviert sind.