Esta publicación mostrará cómo deshabilitar los cifrados HMAC MD5 y CBC como ejemplo para CentOS/RHEL 6 y 7.
Para CentOS/RHEL 7
Para obtener más información, consulte las páginas man:
# man sshd_config
Cifrados
Especifica los cifrados permitidos. Los cifrados múltiples deben estar separados por comas. Si el valor especificado comienza con un carácter '+', los cifrados especificados se agregarán al conjunto predeterminado en lugar de reemplazarlos.
Los cifrados admitidos son:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com arcfour arcfour128 arcfour256 blowfish-cbc cast128-cbc chacha20-poly1305@openssh.com
El valor predeterminado es:
chacha20-poly1305@openssh.com, aes128-ctr,aes192-ctr,aes256-ctr, aes128-gcm@openssh.com,aes256-gcm@openssh.com, aes128-cbc,aes192-cbc,aes256-cbc, blowfish-cbc,cast128-cbc,3des-cbc
La lista de cifrados disponibles también se puede obtener usando "cifrado ssh -Q". Por ejemplo:
# ssh -Q cipher 3des-cbc blowfish-cbc cast128-cbc arcfour arcfour128 arcfour256 aes128-cbc aes192-cbc aes256-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com
Para deshabilitar los cifrados CBC, actualice /etc/ssh/sshd_config con los cifrados que se requieren, excepto los cifrados CBC.
Para desactivar CBC:
Ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
Reinicie el servicio sshd después de que se hayan realizado los cambios.
# systemctl restart sshd
MAC
MAC Especifica los algoritmos MAC (código de autenticación de mensajes) disponibles. El algoritmo MAC se utiliza para la protección de la integridad de los datos. Los algoritmos múltiples deben estar separados por comas. Si el valor especificado comienza con un carácter '+', los algoritmos especificados se agregarán al conjunto predeterminado en lugar de reemplazarlos.
Los algoritmos que contienen “-etm” calculan el MAC después del cifrado (encrypt-then-mac). Estos se consideran más seguros y se recomienda su uso. Los MAC admitidos son:
hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 umac-64@openssh.com umac-128@openssh.com hmac-md5-etm@openssh.com hmac-md5-96-etm@openssh.com hmac-ripemd160-etm@openssh.com hmac-sha1-etm@openssh.com hmac-sha1-96-etm@openssh.com hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com umac-64-etm@openssh.com umac-128-etm@openssh.com
El valor predeterminado es:
umac-64-etm@openssh.com,umac-128-etm@openssh.com, hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com,umac-128@openssh.com, hmac-sha2-256,hmac-sha2-512,hmac-sha1, hmac-sha1-etm@openssh.com
La lista de algoritmos MAC disponibles también se puede obtener usando “ssh -Q mac”. Por ejemplo:
# ssh -Q mac hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-md5 hmac-md5-96 hmac-ripemd160 hmac-ripemd160@openssh.com umac-64@openssh.com umac-128@openssh.com hmac-sha1-etm@openssh.com hmac-sha1-96-etm@openssh.com hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com hmac-md5-etm@openssh.com hmac-md5-96-etm@openssh.com hmac-ripemd160-etm@openssh.com umac-64-etm@openssh.com umac-128-etm@openssh.com
Para deshabilitar los algoritmos de MAC hmac-md5, actualice /etc/ssh/sshd_config con las Mac que se requieren, excepto hmac-md5 por ejemplo:
MACs hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
Reinicie el servicio sshd después de que se hayan realizado los cambios.
# systemctl restart sshd
Para CentOS/RHEL 6
En CentOS/RHEL 6, los comandos para enumerar los cifrados y MAC disponibles son “sshd -T | cifrados grep | perl -pe 's/,/\n/g' | ordenar -u” y “nmap -vv –script=ssh2-enum-algos.nse -p 22 localhost”:
# sshd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u nmap -vv --script=ssh2-enum-algos.nse -p 22 localhost
Para obtener más información, consulte las páginas man:
# man sshd_config
Cifrados
Especifica los cifrados permitidos para la versión 2 del protocolo. Los cifrados múltiples deben estar separados por comas. Los cifrados admitidos son:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr arcfour128 arcfour256 arcfour blowfish-cbc rijndael-cbc@lysator.liu.se cast128-cbc
El valor predeterminado es:
aes128-ctr aes192-ctr aes256-ctr arcfour256 arcfour128 aes128-cbc 3des-cbc blowfish-cbc cast128-cbc aes192-cbc aes256-cbc arcfour rijndael-cbc@lysator.liu.se
Para deshabilitar los cifrados CBC, actualice /etc/ssh/sshd_config con los cifrados necesarios, excepto los cifrados CBC.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
Reinicie el servicio sshd después de realizar los cambios.
# service sshd restart
MAC
MAC Especifica los algoritmos MAC (código de autenticación de mensajes) disponibles. El algoritmo MAC se utiliza en la versión 2 del protocolo para la protección de la integridad de los datos. Los algoritmos múltiples deben estar separados por comas. El valor predeterminado es:
hmac-md5,hmac-sha1,umac-64@openssh.com, hmac-ripemd160,hmac-sha1-96,hmac-md5-96, hmac-sha2-256,hmac-sha2-512,hmac-ripemd160@openssh.com
Para deshabilitar los algoritmos de MAC hmac-md5, actualice /etc/ssh/sshd_config con las Mac que se requieren, excepto hmac-md5 por ejemplo:
MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160@openssh.com
Reinicie el servicio sshd después de realizar los cambios:
# service sshd restartCómo deshabilitar el cifrado débil y los algoritmos HMAC inseguros en los servicios SSH en CentOS/RHEL 8