SSH: Как отключить слабые шифры?

Группа безопасности моей организации сказала нам отключить слабые шифры из-за того, что они выдают слабые ключи.

arcfour arcfour128 arcfour256 

Но я пробовал искать эти шифры в файлах ssh_config и sshd_config, но обнаружил, что они комментируются.

  grep arcfour * ssh_config:# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc 

Где еще я должен проверить, чтобы отключить эти шифры из SSH?

Если у вас нет явной настройки, значение по умолчанию, согласно man 5 ssh_config (клиентская сторона) и man 5 sshd_config (на стороне сервера), равно:

  aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128, aes128-gcm@openssh.com,aes256-gcm@openssh.com, chacha20-poly1305@openssh.com, aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc, aes256-cbc,arcfour 

Обратите внимание на наличие шифров arcfour. Поэтому вам может потребоваться явно установить более ограничительное значение для Ciphers .

ssh -Q cipher от клиента расскажет вам, какие схемы поддерживает ваш клиент.

nmap --script ssh2-enum-algos -sV -p <port> <host> расскажет вам, какие схемы поддерживает ваш сервер.

Чтобы отключить RC4 и использовать защищенные шифры на сервере SSH, установите в /etc/ssh/sshd_config

 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr 

Вы можете проверить шифры, используемые в настоящее время на вашем сервере, с помощью:

 sudo sshd -T |grep ciphers 

Убедитесь, что ваш клиент ssh может использовать эти шифры, запустите ssh -Q cipher чтобы просмотреть список.

Вы также можете поручить своему SSH-клиенту согласовывать только защищенные шифры с удаленными серверами. В /etc/ssh/ssh_config установите:

 Host * Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr 

Выше отрывки из этого
Чтобы проверить настройки вашего сервера, вы можете использовать ssh-audit