Come disabilitare specifici ssh ciphers e / o MACS (approccio blacklist)

2

Ho un rapporto che descrive i ssh ciphers deboli su un sistema. Come posso disabilitare questi specifici cifrari deboli. La soluzione comune di cui sono a conoscenza è l'aggiunta delle seguenti righe in sshd_config (che è un approccio alla lista bianca):

Ciphers aes128-ctr,aes192-ctr,aes256-ctr
MACs hmac-sha1,hmac-ripemd160

La soluzione che sto cercando è una configurazione che in teoria consente tutti i cifrari e MAC tranne i più deboli (approccio blacklist) anziché definire esplicitamente quali codici sono consentiti.

    
posta kundai tinarwo 25.05.2017 - 11:32
fonte

1 risposta

2

Dipende da quale versione di OpenSSH stai usando. Nelle versioni successive alla 7.5, non hai altra opzione che hai già detto: elenca tutti gli algoritmi elencati in bianco.

Da OpenSSH 7.5 puoi usare - modificatore, che metterà in blacklist gli algoritmi "cattivi" dal set predefinito, come

Ciphers -arcfour
MACs -hmac-md5
    
risposta data 25.05.2017 - 11:37
fonte

Leggi altre domande sui tag