Esta publicación mostrará cómo deshabilitar los cifrados HMAC MD5 y CBC como ejemplo para CentOS/RHEL 6 y 7.
Para CentOS/RHEL 7
Para obtener más información, consulte las páginas man:
# man sshd_config
Cifrados
Especifica los cifrados permitidos. Los cifrados múltiples deben estar separados por comas. Si el valor especificado comienza con un carácter '+', los cifrados especificados se agregarán al conjunto predeterminado en lugar de reemplazarlos.
Los cifrados admitidos son:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr [email protected] [email protected] arcfour arcfour128 arcfour256 blowfish-cbc cast128-cbc [email protected]
El valor predeterminado es:
[email protected], aes128-ctr,aes192-ctr,aes256-ctr, [email protected],[email protected], aes128-cbc,aes192-cbc,aes256-cbc, blowfish-cbc,cast128-cbc,3des-cbc
La lista de cifrados disponibles también se puede obtener usando "cifrado ssh -Q". Por ejemplo:
# ssh -Q cipher 3des-cbc blowfish-cbc cast128-cbc arcfour arcfour128 arcfour256 aes128-cbc aes192-cbc aes256-cbc [email protected] aes128-ctr aes192-ctr aes256-ctr [email protected] [email protected] [email protected]
Para deshabilitar los cifrados CBC, actualice /etc/ssh/sshd_config con los cifrados que se requieren, excepto los cifrados CBC.
Para desactivar CBC:
Ciphers [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
Reinicie el servicio sshd después de que se hayan realizado los cambios.
# systemctl restart sshd
MAC
MAC Especifica los algoritmos MAC (código de autenticación de mensajes) disponibles. El algoritmo MAC se utiliza para la protección de la integridad de los datos. Los algoritmos múltiples deben estar separados por comas. Si el valor especificado comienza con un carácter '+', los algoritmos especificados se agregarán al conjunto predeterminado en lugar de reemplazarlos.
Los algoritmos que contienen “-etm” calculan el MAC después del cifrado (encrypt-then-mac). Estos se consideran más seguros y se recomienda su uso. Los MAC admitidos son:
hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
El valor predeterminado es:
[email protected],[email protected], [email protected],[email protected], [email protected], [email protected],[email protected], hmac-sha2-256,hmac-sha2-512,hmac-sha1, [email protected]
La lista de algoritmos MAC disponibles también se puede obtener usando “ssh -Q mac”. Por ejemplo:
# ssh -Q mac hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-md5 hmac-md5-96 hmac-ripemd160 [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Para deshabilitar los algoritmos de MAC hmac-md5, actualice /etc/ssh/sshd_config con las Mac que se requieren, excepto hmac-md5 por ejemplo:
MACs [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
Reinicie el servicio sshd después de que se hayan realizado los cambios.
# systemctl restart sshd
Para CentOS/RHEL 6
En CentOS/RHEL 6, los comandos para enumerar los cifrados y MAC disponibles son “sshd -T | cifrados grep | perl -pe 's/,/\n/g' | ordenar -u” y “nmap -vv –script=ssh2-enum-algos.nse -p 22 localhost”:
# sshd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u nmap -vv --script=ssh2-enum-algos.nse -p 22 localhost
Para obtener más información, consulte las páginas man:
# man sshd_config
Cifrados
Especifica los cifrados permitidos para la versión 2 del protocolo. Los cifrados múltiples deben estar separados por comas. Los cifrados admitidos son:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr arcfour128 arcfour256 arcfour blowfish-cbc [email protected] cast128-cbc
El valor predeterminado es:
aes128-ctr aes192-ctr aes256-ctr arcfour256 arcfour128 aes128-cbc 3des-cbc blowfish-cbc cast128-cbc aes192-cbc aes256-cbc arcfour [email protected]
Para deshabilitar los cifrados CBC, actualice /etc/ssh/sshd_config con los cifrados necesarios, excepto los cifrados CBC.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
Reinicie el servicio sshd después de realizar los cambios.
# service sshd restart
MAC
MAC Especifica los algoritmos MAC (código de autenticación de mensajes) disponibles. El algoritmo MAC se utiliza en la versión 2 del protocolo para la protección de la integridad de los datos. Los algoritmos múltiples deben estar separados por comas. El valor predeterminado es:
hmac-md5,hmac-sha1,[email protected], hmac-ripemd160,hmac-sha1-96,hmac-md5-96, hmac-sha2-256,hmac-sha2-512,[email protected]
Para deshabilitar los algoritmos de MAC hmac-md5, actualice /etc/ssh/sshd_config con las Mac que se requieren, excepto hmac-md5 por ejemplo:
MACs hmac-sha1,[email protected],hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,[email protected]
Reinicie el servicio sshd después de realizar los cambios:
# service sshd restartCómo deshabilitar el cifrado débil y los algoritmos HMAC inseguros en los servicios SSH en CentOS/RHEL 8