新しい(初めて)CentOS 6.5サーバーをWebサーバーとして使用しています。セキュリティチームは、次の弱点を特定しました。
SSHサーバーは、MD5または96ビットのMACアルゴリズムを許可するように構成されています。これらのアルゴリズムはどちらも脆弱と見なされています。このプラグインはSSHサーバーのオプションのみをチェックし、脆弱なソフトウェアバージョンはチェックしないことに注意してください。
プラグイン出力次のクライアントからサーバーへのメソッド認証コード(MAC)アルゴリズムがサポートされています。hmac-md5 hmac-md5-96 hmac-sha1-96
CentOS 6.5サーバーでMD5や96ビットMACアルゴリズムを無効にするにはどうすればよいですか?私はauthconfig --disablemd5 --updateallを実行してみましたが、それでも同じ問題がありました。
完全にはわかりませんが、sshd_config
のプロトコル設定を確認することをお勧めします。
From http://wiki.centos.org/HowTos/Network/SecuringSSH から
# Protocol 2,1
Protocol 2
プロトコル1をプロトコル2に変更して再起動します。これはCentos 6.5ではすでにProtocol 2
に設定されているはずですが、再確認することをお勧めします。
私はこれがさまざまなプロトコルオプションの不足を発見しました
http://www.snailbook.com/faq/ssh-1-vs-2.auto.html
それでも特定の問題を解決するのに十分かどうかはわかりません。
彼らが設定をチェックするために何を使っているか知っていますか?
更新しました:
これはman sshd_config
の実行からのものです
Ciphers
Specifies the ciphers allowed for protocol version 2 in order of preference. Multiple ciphers must be comma-separated. The supported ciphers are
“3des-cbc”, “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “arcfour128”, “arcfour256”, “arcfour”,
“blowfish-cbc”, and “cast128-cbc”. The default is:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour
また、Macs
オプション:
MACs Specifies the MAC (message authentication code) algorithms in order of preference. The MAC algorithm is used in protocol version 2 for data
integrity protection. Multiple algorithms must be comma-separated. The default is:
hmac-md5,hmac-sha1,[email protected],
hmac-ripemd160,hmac-sha1-96,hmac-md5-96,
hmac-sha2-256,hmac-sha2-512
だから私はそれらを調べて、あなたが望む暗号とMacを使って/etc/ssh/sshd_config
ファイルのオプションを設定します。
次の2行を/etc/ssh/ssh_config
ファイルと/etc/ssh/sshd_config
ファイルに追加します。
Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,3des-cbc
MACs hmac-sha1
サービスを再起動します。ブーム。 FIPS準拠。
2017年です。推奨事項を更新してください。現在、すべての* -CBC暗号とRC4暗号は弱いと見なされています。したがって、次のようになります。
MACs hmac-sha2-512,hmac-sha2-256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
または、OpenSSH 6.7以降をサポートする新しいもの:
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
ソース: https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Configuration
私は この投稿 を見つけました。それは次の行を追加することによってそれを述べています:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128
MACs hmac-sha1,[email protected],hmac-ripemd160
sshd
config(/etc/ssh/sshd_config
)これらの脆弱なMACを削除できます。