Cet article montrera comment désactiver le HMAC MD5 et les chiffrements CBC comme exemple pour CentOS/RHEL 6 et 7.
Pour CentOS/RHEL 7
Pour plus d'informations, veuillez consulter les pages de manuel :
# man sshd_config
Chiffres
Spécifie les chiffrements autorisés. Plusieurs chiffrements doivent être séparés par des virgules. Si la valeur spécifiée commence par un caractère "+", les chiffrements spécifiés seront ajoutés à l'ensemble par défaut au lieu de les remplacer.
Les chiffrements pris en charge sont :
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com arcfour arcfour128 arcfour256 blowfish-cbc cast128-cbc chacha20-poly1305@openssh.com
La valeur par défaut est :
chacha20-poly1305@openssh.com, aes128-ctr,aes192-ctr,aes256-ctr, aes128-gcm@openssh.com,aes256-gcm@openssh.com, aes128-cbc,aes192-cbc,aes256-cbc, blowfish-cbc,cast128-cbc,3des-cbc
La liste des chiffrements disponibles peut également être obtenue en utilisant « ssh -Q cipher ». Par exemple :
# ssh -Q cipher 3des-cbc blowfish-cbc cast128-cbc arcfour arcfour128 arcfour256 aes128-cbc aes192-cbc aes256-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com
Afin de désactiver les chiffrements CBC, veuillez mettre à jour le fichier /etc/ssh/sshd_config avec les chiffrements requis à l'exception des chiffrements CBC.
Pour désactiver CBC :
Ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
Redémarrez le service sshd une fois les modifications apportées.
# systemctl restart sshd
MAC
MACs Spécifie les algorithmes MAC (code d'authentification de message) disponibles. L'algorithme MAC est utilisé pour la protection de l'intégrité des données. Plusieurs algorithmes doivent être séparés par des virgules. Si la valeur spécifiée commence par un caractère "+", les algorithmes spécifiés seront ajoutés à l'ensemble par défaut au lieu de les remplacer.
Les algorithmes qui contiennent « -etm » calculent le MAC après chiffrement (encrypt-then-mac). Ceux-ci sont considérés comme plus sûrs et leur utilisation est recommandée. Les MAC pris en charge sont :
hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 umac-64@openssh.com umac-128@openssh.com hmac-md5-etm@openssh.com hmac-md5-96-etm@openssh.com hmac-ripemd160-etm@openssh.com hmac-sha1-etm@openssh.com hmac-sha1-96-etm@openssh.com hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com umac-64-etm@openssh.com umac-128-etm@openssh.com
La valeur par défaut est :
umac-64-etm@openssh.com,umac-128-etm@openssh.com, hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com,umac-128@openssh.com, hmac-sha2-256,hmac-sha2-512,hmac-sha1, hmac-sha1-etm@openssh.com
La liste des algorithmes MAC disponibles peut également être obtenue en utilisant « ssh -Q mac ». Par exemple :
# ssh -Q mac hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-ripemd160@openssh.com umac-64@openssh.com umac-128@openssh.com hmac-sha1-etm@openssh.com hmac-sha1-96-etm@openssh.com hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com hmac-md5-etm@openssh.com hmac-md5-96-etm@openssh.com hmac-ripemd160-etm@openssh.com umac-64-etm@openssh.com umac-128-etm@openssh.com
Afin de désactiver les algorithmes MAC hmac-md5, veuillez mettre à jour le /etc/ssh/sshd_config avec les Mac requis, à l'exception du hmac-md5 pour ecample :
MACs hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
Redémarrez le service sshd une fois les modifications apportées.
# systemctl restart sshd
Pour CentOS/RHEL 6
Dans CentOS/RHEL 6, les commandes pour répertorier les chiffrements et MAC disponibles sont « sshd -T | chiffrements grep | perl -pe ‘s/,/\n/g’ | sort -u" et "nmap -vv –script=ssh2-enum-algos.nse -p 22 localhost":
# sshd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u nmap -vv --script=ssh2-enum-algos.nse -p 22 localhost
Pour plus d'informations, veuillez consulter les pages de manuel :
# man sshd_config
Chiffres
Spécifie les chiffrements autorisés pour la version 2 du protocole. Plusieurs chiffrements doivent être séparés par des virgules. Les chiffrements pris en charge sont :
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr arcfour128 arcfour256 arcfour blowfish-cbc rijndael-cbc@lysator.liu.se cast128-cbc
La valeur par défaut est :
aes128-ctr aes192-ctr aes256-ctr arcfour256 arcfour128 aes128-cbc 3des-cbc blowfish-cbc cast128-cbc aes192-cbc aes256-cbc arcfour rijndael-cbc@lysator.liu.se
Afin de désactiver les chiffrements CBC, veuillez mettre à jour /etc/ssh/sshd_config avec les chiffrements requis, à l'exception des chiffrements CBC.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
Redémarrez le service sshd une fois les modifications apportées.
# service sshd restart
MAC
MACs Spécifie les algorithmes MAC (code d'authentification de message) disponibles. L'algorithme MAC est utilisé dans la version 2 du protocole pour la protection de l'intégrité des données. Plusieurs algorithmes doivent être séparés par des virgules. La valeur par défaut est :
hmac-md5,hmac-sha1,umac-64@openssh.com, hmac-ripemd160,hmac-sha1-96,hmac-md5-96, hmac-sha2-256,hmac-sha2-512,hmac-ripemd160@openssh.com
Afin de désactiver les algorithmes MAC hmac-md5, veuillez mettre à jour le /etc/ssh/sshd_config avec les Mac requis, à l'exception du hmac-md5 pour ecample :
MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160@openssh.com
Redémarrez le service sshd une fois les modifications apportées :
# service sshd restartComment désactiver les algorithmes de chiffrement faible et HMAC non sécurisés dans les services SSH dans CentOS/RHEL 8