Seguendo immediatamente la domanda precedente, Tassonomia di Ciphers / MAC / Kex disponibile in SSH? , ho bisogno di aiuto per ottenere i seguenti obiettivi di progettazione:
- Disattiva tutti gli algoritmi HMAC a 96 bit.
- Disattiva tutti gli algoritmi HMAC basati su MD5.
- Disattiva i cifrari in modalità CBC e utilizza le crittografie in modalità CTR.
A tal fine, il seguente è l'elenco predefinito per le crittografie supportate:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,[email protected],[email protected],aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour
Stavo cercando di cambiarlo in questo modo:
Ciphers aes256-ctr,aes192-ctr,aes128-ctr,[email protected],[email protected],arcfour256
Successivamente, per HMAC, supporta quanto segue:
[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-md5,hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-sha1-96,hmac-md5-96
E stavo cercando di cambiarlo in questo:
[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected],hmac-sha1,[email protected],[email protected],[email protected],[email protected],hmac-ripemd160
Ciò fornirà il massimo beneficio in termini di sicurezza mitigando i noti punti deboli e gli attacchi contro le configurazioni SSH comuni? Si noti che questa domanda non riguarda 0 giorni o altri difetti correlati nel codice SSH e riguarda specificamente la migliore disposizione e configurazione dei cifrari, KexAlgorithms e MAC. Se l'ordine è errato, si prega di suggerire un metodo migliore per organizzarli. Questo vale anche per il file sshd_config e non per le connessioni client.