Escáner de vulnerabilidades Nessus informado:SSH Weak Key Exchange Algorithms Enabled y SSH Server CBC Mode Ciphers Enabled. El mensaje detallado sugirió que el servidor SSH permite algoritmos de intercambio de claves que se consideran débiles y admiten el cifrado Cipher Block Chaining (CBC) que puede permitir que un atacante recupere el texto sin formato del texto cifrado. Bueno, este tutorial trata sobre cómo deshabilitar los algoritmos de intercambio de claves débiles y el modo de cifrado CBC en el servidor SSH en CentOS Stream 8.
A continuación se muestran las capturas de pantalla directamente del informe de Nessus.
Cómo deshabilitar el algoritmo de intercambio de clave débil y el modo CBC en SSH
/etc/sysconfig/sshd y descomente la siguiente línea.
#CRYPTO_POLICY=
a
CRYPTO_POLICY=
Al hacer eso, está optando por no participar en las políticas criptográficas establecidas por el servidor. Si desea utilizar las políticas criptográficas de todo el sistema, debe comentar CRYPTO_POLICY= y use update-crypto-policies Comando para habilitar/deshabilitar políticas. Obtenga más información sobre las políticas de criptografía.
Paso 2 :copie los siguientes cifrados, MAC y KexAlgorithms en /etc/ssh/sshd_config .
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
Paso 3: Verifique el archivo de configuración antes de reiniciar el servidor SSH.
sshd -t
# systemctl restart sshd
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
Por ejemplo:
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc centos@192.168.10.141 ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,umac-128@openssh.com,hmac-sha2-512 debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,umac-128@openssh.com,hmac-sha2-512 debug2: compression ctos: none,zlib@openssh.com debug2: compression stoc: none,zlib@openssh.com debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr
El error anterior significa que los cifrados débiles están deshabilitados. En caso de que vea la solicitud de contraseña, significa que los cifrados débiles están habilitados.