Nessus脆弱性スキャナーが報告されました–SSHウィークキー交換アルゴリズムが有効でSSHサーバーCBCモード暗号が有効です。詳細なメッセージは、SSHサーバーが弱いと見なされる鍵交換アルゴリズムを許可し、攻撃者が暗号文から平文を回復できる可能性のある暗号ブロック連鎖(CBC)暗号化をサポートすることを示唆しています。このチュートリアルは、CentOSStream8のSSHサーバーで弱鍵交換アルゴリズムとCBC暗号化モードを無効にする方法に関するものです。
以下は、Nessusレポートのスクリーンショットです。
SSHで弱い鍵交換アルゴリズムとCBCモードを無効にする方法
ステップ1: /etc/sysconfig/sshdを編集します 次の行のコメントを解除します。
#CRYPTO_POLICY=
に
CRYPTO_POLICY=
そうすることで、サーバーによって設定された暗号化ポリシーをオプトアウトすることになります。システム全体の暗号化ポリシーを使用する場合は、CRYPTO_POLICY=にコメントする必要があります update-crypto-policiesを使用します ポリシーを有効/無効にするコマンド。暗号ポリシーの詳細をご覧ください。
ステップ2 :次の暗号、MAC、およびKexAlgorithmsを/etc/ssh/sshd_configにコピーします 。
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
ステップ3: SSHサーバーを再起動する前に構成ファイルを確認してください。
sshd -t
ステップ4: エラーが報告されていない場合は、SSHDサービスを再起動します。
# systemctl restart sshd
ステップ5: 以下のコマンドを実行して、弱いCBC暗号をテストします。
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
例:
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: [email protected],[email protected],aes256-ctr debug2: ciphers stoc: [email protected],[email protected],aes256-ctr debug2: MACs ctos: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: MACs stoc: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: compression ctos: none,[email protected] debug2: compression stoc: none,[email protected] debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
上記のエラーは、弱い暗号が無効になっていることを意味します。パスワードプロンプトが表示された場合は、弱い暗号が有効になっていることを意味します。