GNU/Linux >> Tutoriels Linux >  >> Linux

Ssh :Comment désactiver les chiffrements faibles ?

L'équipe de sécurité de mon organisation nous a dit de désactiver les chiffrements faibles car ils émettent des clés faibles.

  arcfour
  arcfour128
  arcfour256

Mais j'ai essayé de rechercher ces chiffrements dans les fichiers ssh_config et sshd_config mais je les ai trouvés commentés.

 grep arcfour *
ssh_config:#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc

Où dois-je vérifier pour désactiver ces chiffrements de SSH ?

Réponse acceptée :

Si vous n'avez pas de liste explicite de chiffrements définis dans ssh_config en utilisant les Ciphers mot-clé, puis la valeur par défaut, selon man 5 ssh_config (côté client) et man 5 sshd_config (côté serveur), est :

            aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
            [email protected],[email protected],
            [email protected],
            aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
            aes256-cbc,arcfour

Notez la présence des chiffrements arcfour. Vous devrez donc peut-être définir explicitement une valeur plus restrictive pour Ciphers .

ssh -Q cipher du client vous dira quels schémas votre client peut prendre en charge. Notez que cette liste n'est pas affectée par la liste des chiffrements spécifiés dans ssh_config . Suppression d'un chiffrement de ssh_config ne le supprimera pas de la sortie de ssh -Q cipher . De plus, en utilisant ssh avec le -c l'option pour spécifier explicitement un chiffrement remplacera la liste restreinte de chiffrements que vous avez définie dans ssh_config et éventuellement vous permettre d'utiliser un chiffrement faible. Il s'agit d'une fonctionnalité qui vous permet d'utiliser votre ssh client pour communiquer avec des serveurs SSH obsolètes qui ne prennent pas en charge les nouveaux chiffrements plus puissants.

nmap --script ssh2-enum-algos -sV -p <port> <host> vous indiquera les schémas pris en charge par votre serveur.


Linux
  1. Désactiver l'algorithme d'échange de clé faible, mode CBC dans SSH

  2. Comment désactiver la connexion de l'utilisateur racine via SSH

  3. Comment restaurer le fichier Ssh_config dans /etc/ssh ?

  4. Comment désactiver SELinux sur CentOS ?

  5. Comment désactiver les algorithmes HMAC basés sur MD5 pour SSH

Comment désactiver l'authentification par mot de passe SSH sur Linux VPS

Comment désactiver la connexion SSH à un utilisateur spécifique sous Linux

Comment désactiver l'accès root SSH sur CentOS 7

Comment désactiver la connexion SSH pour l'utilisateur root sous Linux ?

Comment désactiver la vérification de la clé d'hôte SSH sous Linux

Comment quitter une connexion SSH ?