Scanner de vulnérabilité Nessus signalé - Algorithmes d'échange de clés faibles SSH activés et chiffrements en mode CBC du serveur SSH activés. Le message détaillé suggérait que le serveur SSH autorise les algorithmes d'échange de clés qui sont considérés comme faibles et prennent en charge le chiffrement Cipher Block Chaining (CBC), ce qui peut permettre à un attaquant de récupérer le texte en clair à partir du texte chiffré. Eh bien, ce didacticiel explique comment désactiver les algorithmes d'échange de clés faibles et le mode de cryptage CBC dans le serveur SSH sur CentOS Stream 8.
Vous trouverez ci-dessous les captures d'écran directement issues du rapport Nessus.
Comment désactiver l'algorithme d'échange de clé faible et le mode CBC dans SSH
Étape 1 : Modifier /etc/sysconfig/sshd et décommentez la ligne suivante.
#CRYPTO_POLICY=
à
CRYPTO_POLICY=
En faisant cela, vous vous désabonnez des politiques de cryptage définies par le serveur. Si vous souhaitez utiliser les politiques de chiffrement à l'échelle du système, vous devez commenter CRYPTO_POLICY= et utilisez update-crypto-policies commande pour activer/désactiver les stratégies. En savoir plus sur les règles de chiffrement.
Étape 2 :Copiez les chiffrements, MAC et KexAlgorithms suivants dans /etc/ssh/sshd_config .
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
Étape 3 : Vérifiez le fichier de configuration avant de redémarrer le serveur SSH.
sshd -t
Étape 4 : Si aucune erreur n'est signalée, redémarrez le service SSHD.
# systemctl restart sshd
Étape 5 : Testez les chiffrements CBC faibles en exécutant la commande ci-dessous.
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
Par exemple :
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc centos@192.168.10.141 ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,umac-128@openssh.com,hmac-sha2-512 debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,umac-128@openssh.com,hmac-sha2-512 debug2: compression ctos: none,zlib@openssh.com debug2: compression stoc: none,zlib@openssh.com debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr
L'erreur ci-dessus signifie que les chiffrements faibles sont désactivés. Au cas où, si vous voyez l'invite de mot de passe, cela signifie que les chiffrements faibles sont activés.