Cet article montrera comment désactiver le HMAC MD5 et les chiffrements CBC comme exemple pour CentOS/RHEL 6 et 7.
Pour CentOS/RHEL 7
Pour plus d'informations, veuillez consulter les pages de manuel :
# man sshd_config
Chiffres
Spécifie les chiffrements autorisés. Plusieurs chiffrements doivent être séparés par des virgules. Si la valeur spécifiée commence par un caractère "+", les chiffrements spécifiés seront ajoutés à l'ensemble par défaut au lieu de les remplacer.
Les chiffrements pris en charge sont :
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr [email protected] [email protected] arcfour arcfour128 arcfour256 blowfish-cbc cast128-cbc [email protected]
La valeur par défaut est :
[email protected], aes128-ctr,aes192-ctr,aes256-ctr, [email protected],[email protected], aes128-cbc,aes192-cbc,aes256-cbc, blowfish-cbc,cast128-cbc,3des-cbc
La liste des chiffrements disponibles peut également être obtenue en utilisant « ssh -Q cipher ». Par exemple :
# ssh -Q cipher 3des-cbc blowfish-cbc cast128-cbc arcfour arcfour128 arcfour256 aes128-cbc aes192-cbc aes256-cbc [email protected] aes128-ctr aes192-ctr aes256-ctr [email protected] [email protected] [email protected]
Afin de désactiver les chiffrements CBC, veuillez mettre à jour le fichier /etc/ssh/sshd_config avec les chiffrements requis à l'exception des chiffrements CBC.
Pour désactiver CBC :
Ciphers [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
Redémarrez le service sshd une fois les modifications apportées.
# systemctl restart sshd
MAC
MACs Spécifie les algorithmes MAC (code d'authentification de message) disponibles. L'algorithme MAC est utilisé pour la protection de l'intégrité des données. Plusieurs algorithmes doivent être séparés par des virgules. Si la valeur spécifiée commence par un caractère "+", les algorithmes spécifiés seront ajoutés à l'ensemble par défaut au lieu de les remplacer.
Les algorithmes qui contiennent « -etm » calculent le MAC après chiffrement (encrypt-then-mac). Ceux-ci sont considérés comme plus sûrs et leur utilisation est recommandée. Les MAC pris en charge sont :
hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
La valeur par défaut est :
[email protected],[email protected], [email protected],[email protected], [email protected], [email protected],[email protected], hmac-sha2-256,hmac-sha2-512,hmac-sha1, [email protected]
La liste des algorithmes MAC disponibles peut également être obtenue en utilisant « ssh -Q mac ». Par exemple :
# ssh -Q mac hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-md5 hmac-md5-96 hmac-ripemd160 [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Afin de désactiver les algorithmes MAC hmac-md5, veuillez mettre à jour le /etc/ssh/sshd_config avec les Mac requis, à l'exception du hmac-md5 pour ecample :
MACs [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
Redémarrez le service sshd une fois les modifications apportées.
# systemctl restart sshd
Pour CentOS/RHEL 6
Dans CentOS/RHEL 6, les commandes pour répertorier les chiffrements et MAC disponibles sont « sshd -T | chiffrements grep | perl -pe ‘s/,/\n/g’ | sort -u" et "nmap -vv –script=ssh2-enum-algos.nse -p 22 localhost":
# sshd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u nmap -vv --script=ssh2-enum-algos.nse -p 22 localhost
Pour plus d'informations, veuillez consulter les pages de manuel :
# man sshd_config
Chiffres
Spécifie les chiffrements autorisés pour la version 2 du protocole. Plusieurs chiffrements doivent être séparés par des virgules. Les chiffrements pris en charge sont :
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr arcfour128 arcfour256 arcfour blowfish-cbc [email protected] cast128-cbc
La valeur par défaut est :
aes128-ctr aes192-ctr aes256-ctr arcfour256 arcfour128 aes128-cbc 3des-cbc blowfish-cbc cast128-cbc aes192-cbc aes256-cbc arcfour [email protected]
Afin de désactiver les chiffrements CBC, veuillez mettre à jour /etc/ssh/sshd_config avec les chiffrements requis, à l'exception des chiffrements CBC.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
Redémarrez le service sshd une fois les modifications apportées.
# service sshd restart
MAC
MACs Spécifie les algorithmes MAC (code d'authentification de message) disponibles. L'algorithme MAC est utilisé dans la version 2 du protocole pour la protection de l'intégrité des données. Plusieurs algorithmes doivent être séparés par des virgules. La valeur par défaut est :
hmac-md5,hmac-sha1,[email protected], hmac-ripemd160,hmac-sha1-96,hmac-md5-96, hmac-sha2-256,hmac-sha2-512,[email protected]
Afin de désactiver les algorithmes MAC hmac-md5, veuillez mettre à jour le /etc/ssh/sshd_config avec les Mac requis, à l'exception du hmac-md5 pour ecample :
MACs hmac-sha1,[email protected],hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,[email protected]
Redémarrez le service sshd une fois les modifications apportées :
# service sshd restartComment désactiver les algorithmes de chiffrement faible et HMAC non sécurisés dans les services SSH dans CentOS/RHEL 8