Scanner de vulnérabilité Nessus signalé - Algorithmes d'échange de clés faibles SSH activés et chiffrements en mode CBC du serveur SSH activés. Le message détaillé suggérait que le serveur SSH autorise les algorithmes d'échange de clés qui sont considérés comme faibles et prennent en charge le chiffrement Cipher Block Chaining (CBC), ce qui peut permettre à un attaquant de récupérer le texte en clair à partir du texte chiffré. Eh bien, ce didacticiel explique comment désactiver les algorithmes d'échange de clés faibles et le mode de cryptage CBC dans le serveur SSH sur CentOS Stream 8.
Vous trouverez ci-dessous les captures d'écran directement issues du rapport Nessus.
Comment désactiver l'algorithme d'échange de clé faible et le mode CBC dans SSH
Étape 1 : Modifier /etc/sysconfig/sshd
et décommentez la ligne suivante.
#CRYPTO_POLICY=
à
CRYPTO_POLICY=
En faisant cela, vous vous désabonnez des politiques de cryptage définies par le serveur. Si vous souhaitez utiliser les politiques de chiffrement à l'échelle du système, vous devez commenter CRYPTO_POLICY=
et utilisez update-crypto-policies
commande pour activer/désactiver les stratégies. En savoir plus sur les règles de chiffrement.
Étape 2 :Copiez les chiffrements, MAC et KexAlgorithms suivants dans /etc/ssh/sshd_config
.
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
Étape 3 : Vérifiez le fichier de configuration avant de redémarrer le serveur SSH.
sshd -t
Étape 4 : Si aucune erreur n'est signalée, redémarrez le service SSHD.
# systemctl restart sshd
Étape 5 : Testez les chiffrements CBC faibles en exécutant la commande ci-dessous.
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
Par exemple :
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: [email protected],[email protected],aes256-ctr debug2: ciphers stoc: [email protected],[email protected],aes256-ctr debug2: MACs ctos: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: MACs stoc: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: compression ctos: none,[email protected] debug2: compression stoc: none,[email protected] debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
L'erreur ci-dessus signifie que les chiffrements faibles sont désactivés. Au cas où, si vous voyez l'invite de mot de passe, cela signifie que les chiffrements faibles sont activés.