Escáner de vulnerabilidades Nessus informado:SSH Weak Key Exchange Algorithms Enabled y SSH Server CBC Mode Ciphers Enabled. El mensaje detallado sugirió que el servidor SSH permite algoritmos de intercambio de claves que se consideran débiles y admiten el cifrado Cipher Block Chaining (CBC) que puede permitir que un atacante recupere el texto sin formato del texto cifrado. Bueno, este tutorial trata sobre cómo deshabilitar los algoritmos de intercambio de claves débiles y el modo de cifrado CBC en el servidor SSH en CentOS Stream 8.
A continuación se muestran las capturas de pantalla directamente del informe de Nessus.
Cómo deshabilitar el algoritmo de intercambio de clave débil y el modo CBC en SSH
/etc/sysconfig/sshd y descomente la siguiente línea.
#CRYPTO_POLICY=
a
CRYPTO_POLICY=
Al hacer eso, está optando por no participar en las políticas criptográficas establecidas por el servidor. Si desea utilizar las políticas criptográficas de todo el sistema, debe comentar CRYPTO_POLICY= y use update-crypto-policies Comando para habilitar/deshabilitar políticas. Obtenga más información sobre las políticas de criptografía.
Paso 2 :copie los siguientes cifrados, MAC y KexAlgorithms en /etc/ssh/sshd_config .
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
Paso 3: Verifique el archivo de configuración antes de reiniciar el servidor SSH.
sshd -t
# systemctl restart sshd
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
Por ejemplo:
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: [email protected],[email protected],aes256-ctr debug2: ciphers stoc: [email protected],[email protected],aes256-ctr debug2: MACs ctos: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: MACs stoc: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: compression ctos: none,[email protected] debug2: compression stoc: none,[email protected] debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
El error anterior significa que los cifrados débiles están deshabilitados. En caso de que vea la solicitud de contraseña, significa que los cifrados débiles están habilitados.