特定のSSH暗号やMACSを許可しない方法(ブラックリストアプローチ)
システムの弱いssh暗号について詳述しているレポートがあります。これらの特定の弱い暗号をどのようにして拒否できますか?私が知っている一般的な解決策は、sshd_configに次の行を追加することです(これはホワイトリストアプローチです)。
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
MACs hmac-sha1,hmac-ripemd160
私が探している解決策は、どの暗号のみが許可されるかを明示的に定義するのではなく、理論的には弱い暗号(ブラックリストアプローチ)を除くすべての暗号とMACを許可する構成です。
使用しているOpenSSHのバージョンによって異なります。 7.5より前のバージョンでは、すでに述べた以外に選択肢はありません-ホワイトリストに載っているアルゴリズムをすべてリストしてください。
OpenSSH 7.5以降では-修飾子。これは、デフォルトセットの「悪い」アルゴリズムをブラックリストに載せます。
Ciphers -arcfour
MACs -hmac-md5