Rilevato scanner di vulnerabilità di Nessus – Algoritmi di scambio di chiavi deboli SSH abilitati e Cifra in modalità CBC del server SSH abilitate. Il messaggio dettagliato suggerisce che il server SSH consente algoritmi di scambio di chiavi considerati deboli e supportano la crittografia Cipher Block Chaining (CBC) che potrebbe consentire a un utente malintenzionato di recuperare il testo in chiaro dal testo cifrato. Bene, questo tutorial è tutto su come disabilitare gli algoritmi di scambio di chiavi deboli e la modalità di crittografia CBC nel server SSH su CentOS Stream 8.
Di seguito sono riportati gli screenshot direttamente dal rapporto Nessus.
Come disabilitare l'algoritmo di scambio di chiavi debole e la modalità CBC in SSH
Passaggio 1: Modifica /etc/sysconfig/sshd e decommenta la riga successiva.
#CRYPTO_POLICY=
a
CRYPTO_POLICY=
In questo modo, stai annullando le politiche crittografiche impostate dal server. Se desideri utilizzare le politiche crittografiche a livello di sistema, dovresti commentare CRYPTO_POLICY= e usa update-crypto-policies comando per abilitare/disabilitare le politiche. Ulteriori informazioni sulle politiche Crypto.
Passaggio 2 :copia i seguenti codici, MAC e algoritmi Kex in /etc/ssh/sshd_config .
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
Passaggio 3: Verificare il file di configurazione prima di riavviare il server SSH.
sshd -t
Passaggio 4: Se non vengono segnalati errori, riavvia il servizio SSHD.
# systemctl restart sshd
Passaggio 5: Testa i codici CBC deboli eseguendo il comando seguente.
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
Ad esempio:
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: [email protected],[email protected],aes256-ctr debug2: ciphers stoc: [email protected],[email protected],aes256-ctr debug2: MACs ctos: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: MACs stoc: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: compression ctos: none,[email protected] debug2: compression stoc: none,[email protected] debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
L'errore precedente significa che i codici deboli sono disabilitati. Nel caso, se viene visualizzata la richiesta della password, significa che sono abilitate le crittografie deboli.