SSH: Как отключить слабые шифры?

Группа безопасности моей организации сказала нам отключить слабые шифры из-за того, что они выдают слабые ключи.

arcfour arcfour128 arcfour256 

Но я пробовал искать эти шифры в файлах ssh_config и sshd_config, но обнаружил, что они комментируются.

  grep arcfour * ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc 

Где еще я должен проверить, чтобы отключить эти шифры из SSH?

2 Solutions collect form web for “SSH: Как отключить слабые шифры?”

Если у вас нет явной настройки, значение по умолчанию, согласно man 5 ssh_config (клиентская сторона) и man 5 sshd_config (на стороне сервера), равно:

  aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128, aes128-gcm@openssh.com,aes256-gcm@openssh.com, chacha20-poly1305@openssh.com, aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc, aes256-cbc,arcfour 

Обратите внимание на наличие шифров arcfour. Поэтому вам может потребоваться явно установить более ограничительное значение для Ciphers .

ssh -Q cipher от клиента расскажет вам, какие схемы поддерживает ваш клиент.

nmap --script ssh2-enum-algos -sV -p <port> <host> расскажет вам, какие схемы поддерживает ваш сервер.

Чтобы отключить RC4 и использовать защищенные шифры на сервере SSH, установите в /etc/ssh/sshd_config

 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr 

Вы можете проверить шифры, используемые в настоящее время на вашем сервере, с помощью:

 sudo sshd -T |grep ciphers 

Убедитесь, что ваш клиент ssh может использовать эти шифры, запустите ssh -Q cipher чтобы просмотреть список.

Вы также можете поручить своему SSH-клиенту согласовывать только защищенные шифры с удаленными серверами. В /etc/ssh/ssh_config установите:

 Host * Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr 

Выше отрывки из этого
Чтобы проверить настройки вашего сервера, вы можете использовать ssh-audit

  • git, настройка удаленного хранилища без ssh
  • Как автоматически изменить фон терминала на основе имени ssh?
  • Использование таймаута в скрипте с одной командой, но несколько хостов
  • Как ограничить доступ ssh только для локального хоста?
  • SSH LocalCommand при выходе
  • Как получить правильный MAC-адрес из команды ARP?
  • Не может SSH от моего IP, но может от других IP-адресов
  • Как ограничить SSH-ключ определенными IP-адресами?
  • Проверка наличия файлов в некоторых удаленных папках с помощью bash
  • Как обеспечить ssh через группы на centos?
  • Как мы можем ограничить влияние зондов ssh?
  • Interesting Posts

    Как я могу скопировать каталог на основе содержимого двух последовательных строк?

    find: fts_read: разрешение запрещено через mount_nullfs

    Открыть файлы в новой вкладке для nano

    Как запускается PulseAudio?

    очистить (1) после отсоединения экрана GNU

    Подключение к WPA2 из командной строки, без редактирования файла конфигурации

    Ошибка при перенаправлении портов с помощью iptables: нет цепочки / цели / соответствия этим именем

    RHEL5 – RHEL6 Обновление

    Как работают менеджеры шрифтов в Fedora?

    Командная строка для возврата в графический интерфейс после Ctrl-Alt-F1?

    iptables трафик трафик на определенный внешний ip на другой локальный IP вместо этого и возвращать ответы с внешним ip как источник

    Вывод «Вырезание» id

    перезаписан перезапуск .bashrc

    В Debian Fluxbox, как мне установить курсор на вторую голову?

    Могу ли я реализовать функциональность, аналогичную прерываниям в пользовательском пространстве Linux?

    Linux и Unix - лучшая ОС в мире.