web-dev-qa-db-ja.com

CentOS 6.5でSSHを強化する方法

新しい(初めて)CentOS 6.5サーバーをWebサーバーとして使用しています。セキュリティチームは、次の弱点を特定しました。

SSHサーバーは、MD5または96ビットのMACアルゴリズムを許可するように構成されています。これらのアルゴリズムはどちらも脆弱と見なされています。このプラグインはSSHサーバーのオプションのみをチェックし、脆弱なソフトウェアバージョンはチェックしないことに注意してください。

プラグイン出力次のクライアントからサーバーへのメソッド認証コード(MAC)アルゴリズムがサポートされています。hmac-md5 hmac-md5-96 hmac-sha1-96

CentOS 6.5サーバーでMD5や96ビットMACアルゴリズムを無効にするにはどうすればよいですか?私はauthconfig --disablemd5 --updateallを実行してみましたが、それでも同じ問題がありました。

11
user739866

完全にはわかりませんが、sshd_configのプロトコル設定を確認することをお勧めします。

From http://wiki.centos.org/HowTos/Network/SecuringSSH から

# Protocol 2,1
Protocol 2

プロトコル1をプロトコル2に変更して再起動します。これはCentos 6.5ではすでにProtocol 2に設定されているはずですが、再確認することをお勧めします。

私はこれがさまざまなプロトコルオプションの不足を発見しました

http://www.snailbook.com/faq/ssh-1-vs-2.auto.html

それでも特定の問題を解決するのに十分かどうかはわかりません。

彼らが設定をチェックするために何を使っているか知っていますか?

更新しました:

これはman sshd_configの実行からのものです

Ciphers
         Specifies the ciphers allowed for protocol version 2 in order of preference.  Multiple ciphers must be comma-separated.  The supported ciphers are
         “3des-cbc”, “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “arcfour128”, “arcfour256”, “arcfour”,
         “blowfish-cbc”, and “cast128-cbc”.  The default is:

            aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
            aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
            aes256-cbc,arcfour

また、Macsオプション:

MACs    Specifies the MAC (message authentication code) algorithms in order of preference.  The MAC algorithm is used in protocol version 2 for data
         integrity protection.  Multiple algorithms must be comma-separated.  The default is:

               hmac-md5,hmac-sha1,[email protected],
               hmac-ripemd160,hmac-sha1-96,hmac-md5-96,
               hmac-sha2-256,hmac-sha2-512

だから私はそれらを調べて、あなたが望む暗号とMacを使って/etc/ssh/sshd_configファイルのオプションを設定します。

11
Casey

次の2行を/etc/ssh/ssh_configファイルと/etc/ssh/sshd_configファイルに追加します。

Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,3des-cbc
MACs hmac-sha1

サービスを再起動します。ブーム。 FIPS準拠。

7
elagrew

2017年です。推奨事項を更新してください。現在、すべての* -CBC暗号とRC4暗号は弱いと見なされています。したがって、次のようになります。

MACs hmac-sha2-512,hmac-sha2-256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr

または、OpenSSH 6.7以降をサポートする新しいもの:

Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]

ソース: https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Configuration

6
DmitryK

私は この投稿 を見つけました。それは次の行を追加することによってそれを述べています:

 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128
 MACs hmac-sha1,[email protected],hmac-ripemd160

sshd config(/etc/ssh/sshd_config)これらの脆弱なMACを削除できます。

0
justin