Come disabilitare crittografia debole e algoritmi HMAC non sicuri nei servizi SSH in CentOS/RHEL 8

Domanda :Come disabilitare crittografia debole e algoritmi HMAC non sicuri nei servizi SSH in CentOS/RHEL 8?

Per disabilitare i codici deboli e gli algoritmi HMAC non sicuri nei servizi ssh in CentOS/RHEL 8, segui le istruzioni seguenti:

1. Modifica /etc/sysconfig/sshd e decommenta la riga CRYPTO_POLICY:

Prima:

# CRYPTO_POLICY=[Original value]

Dopo:

CRYPTO_POLICY=[New value]

2. Assicurati che i codici, i MAC e gli algoritmi Kex corretti siano stati aggiunti al file /etc/ssh/sshd_config.

KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

3. Riavvia il servizio sshd:

# systemctl restart sshd

4. Per verificare se sono abilitate le crittografie CBC deboli, eseguire il comando seguente:

# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [@IP of your Server]

In caso di successo, verrà richiesta una password. Ciò significa che i codici deboli sono abilitati.

Se fallisce, dovresti ricevere un messaggio come questo:

Unable to negotiate with  port 22: no matching cipher found. Their offer: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr

Ciò significa che le attenuazioni funzionano correttamente.

5. Per verificare se sono abilitati algoritmi HMAC deboli, eseguire il comando seguente:

# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha1-96-etm@openssh.com,umac-64-etm@openssh.com [@IP of your Server]

Come disabilitare crittografia debole e algoritmi HMAC non sicuri nei servizi SSH per CentOS/RHEL 6 e 7