Question :Comment désactiver les algorithmes de chiffrement faible et HMAC non sécurisés dans les services SSH dans CentOS/RHEL 8 ?
Afin de désactiver les chiffrements faibles et les algorithmes HMAC non sécurisés dans les services ssh dans CentOS/RHEL 8, veuillez suivre les instructions ci-dessous :
1. Modifiez /etc/sysconfig/sshd et décommentez la ligne CRYPTO_POLICY :
Avant :
# CRYPTO_POLICY=[Original value]
Après :
CRYPTO_POLICY=[New value]
2. Assurez-vous que les bons Ciphers, MACs et KexAlgorithms ont été ajoutés au fichier /etc/ssh/sshd_config.
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
3. Redémarrez le service sshd :
# systemctl restart sshd
4. Pour tester si les chiffrements CBC faibles sont activés, exécutez la commande ci-dessous :
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [@IP of your Server]
En cas de succès, il vous demandera un mot de passe. Cela signifie que les chiffrements faibles sont activés.
En cas d'échec, vous devriez recevoir un message comme celui-ci :
Unable to negotiate withport 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
Cela signifie que les atténuations fonctionnent correctement.
5. Pour tester si les algorithmes HMAC faibles sont activés, exécutez la commande ci-dessous :
# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected] [@IP of your Server]Comment désactiver les algorithmes de chiffrement faible et HMAC non sécurisés dans les services SSH pour CentOS/RHEL 6 et 7