Come rafforzare SSH su CentOS 6.5

11

Ho un nuovo server CentOS 6.5 (per la prima volta) utilizzato per un server web. Il nostro team di sicurezza ha identificato il seguente punto debole:

Il server SSH è configurato per consentire algoritmi MAC MD5 o 96 bit, entrambi considerati deboli. Nota che questo plugin controlla solo le opzioni del server SSH e non controlla le versioni del software vulnerabili.

Output del plug-in Sono supportati i seguenti algoritmi di autenticazione del codice (MAC) metodo client-server: hmac-md5 hmac-md5-96 hmac-sha1-96

Come disattivare gli algoritmi MD5 e / o MAC a 96 bit su un server CentOS 6.5? Ho provato a eseguire: authconfig --disablemd5 --updateall ma ho ancora lo stesso problema.

    
posta user739866 25.12.2013 - 17:00
fonte

4 risposte

11

Non ne sono completamente sicuro, ma potresti voler esaminare l'impostazione del protocollo in sshd_config .

Da link

# Protocol 2,1
Protocol 2

Cambia Protocollo 1 a Protocollo 2 e riavvia. Questo dovrebbe già essere impostato su Protocol 2 in Centos 6.5, ma potresti voler ricontrollare.

Ho trovato questa analisi delle diverse opzioni di protocollo

link

Non sono sicuro se sarà sufficiente per risolvere il tuo problema particolare.

Sai cosa stanno usando per verificare la configurazione?

AGGIORNAMENTO:

Questo deriva dall'esecuzione di man sshd_config su

Ciphers
         Specifies the ciphers allowed for protocol version 2 in order of preference.  Multiple ciphers must be comma-separated.  The supported ciphers are
         “3des-cbc”, “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “arcfour128”, “arcfour256”, “arcfour”,
         “blowfish-cbc”, and “cast128-cbc”.  The default is:

            aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
            aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
            aes256-cbc,arcfour

Anche l'opzione Macs :

MACs    Specifies the MAC (message authentication code) algorithms in order of preference.  The MAC algorithm is used in protocol version 2 for data
         integrity protection.  Multiple algorithms must be comma-separated.  The default is:

               hmac-md5,hmac-sha1,[email protected],
               hmac-ripemd160,hmac-sha1-96,hmac-md5-96,
               hmac-sha2-256,hmac-sha2-512

Quindi darei un'occhiata a questi e imposta le opzioni nel tuo file /etc/ssh/sshd_config con le cifre e i mac che vuoi.

    
risposta data 25.12.2013 - 17:18
fonte
7

Aggiungi le seguenti 2 linee al tuo /etc/ssh/ssh_config e al /etc/ssh/sshd_config file:

Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,3des-cbc
MACs hmac-sha1

Riavvia i servizi. Boom. FIPS compatibile.

    
risposta data 29.03.2016 - 23:36
fonte
4

È il 2017 ed è ora di aggiornare i consigli. Ora entrambi i cifrari * -CBC e RC4 sono considerati deboli. Quindi siamo rimasti con:

MACs hmac-sha2-512,hmac-sha2-256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr

O per qualcosa di più recente che supporti OpenSSH 6.7 e versioni successive:

Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]

Fonte: link

    
risposta data 09.02.2017 - 23:33
fonte
0

Ho trovato questo post che potrebbe essere utile. Lo afferma aggiungendo le seguenti righe:

 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128
 MACs hmac-sha1,[email protected],hmac-ripemd160

alla sshd config ( /etc/ssh/sshd_config ) puoi rimuovere questi MAC deboli.

    
risposta data 18.10.2015 - 21:27
fonte

Leggi altre domande sui tag