Domanda :Come disabilitare crittografia debole e algoritmi HMAC non sicuri nei servizi SSH in CentOS/RHEL 8?
Per disabilitare i codici deboli e gli algoritmi HMAC non sicuri nei servizi ssh in CentOS/RHEL 8, segui le istruzioni seguenti:
1. Modifica /etc/sysconfig/sshd e decommenta la riga CRYPTO_POLICY:
Prima:
# CRYPTO_POLICY=[Original value]
Dopo:
CRYPTO_POLICY=[New value]
2. Assicurati che i codici, i MAC e gli algoritmi Kex corretti siano stati aggiunti al file /etc/ssh/sshd_config.
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
3. Riavvia il servizio sshd:
# systemctl restart sshd
4. Per verificare se sono abilitate le crittografie CBC deboli, eseguire il comando seguente:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [@IP of your Server]
In caso di successo, verrà richiesta una password. Ciò significa che i codici deboli sono abilitati.
Se fallisce, dovresti ricevere un messaggio come questo:
Unable to negotiate withport 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
Ciò significa che le attenuazioni funzionano correttamente.
5. Per verificare se sono abilitati algoritmi HMAC deboli, eseguire il comando seguente:
# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected] [@IP of your Server]Come disabilitare crittografia debole e algoritmi HMAC non sicuri nei servizi SSH per CentOS/RHEL 6 e 7