Cómo fortalecer SSH en CentOS 6.5

11

Tengo un servidor CentOS 6.5 nuevo (por primera vez) que se utiliza para un servidor web. Nuestro equipo de seguridad ha identificado la siguiente debilidad:

El servidor SSH está configurado para permitir algoritmos MAC MD5 o de 96 bits, ambos considerados débiles. Tenga en cuenta que este complemento solo busca las opciones del servidor SSH y no busca versiones de software vulnerables.

Salida del complementoSe admiten los siguientes algoritmos del Código de autenticación del método cliente-servidor (MAC): hmac-md5 hmac-md5-96 hmac-sha1-96

¿Cómo deshabilito los algoritmos MAC MD5 y / o 96 bits en un servidor CentOS 6.5? Intenté ejecutar: authconfig --disablemd5 --updateall pero todavía tenía el mismo problema.

    
pregunta user739866 25.12.2013 - 17:00
fuente

4 respuestas

11

No estoy completamente seguro, pero es posible que desee ver la configuración del protocolo en sshd_config .

De enlace

# Protocol 2,1
Protocol 2

Cambie el Protocolo 1 al Protocolo 2 y reinicie. Esto ya debería estar establecido en Protocol 2 en Centos 6.5, pero es posible que desee volver a verificar.

Encontré este resumen de las diferentes opciones de protocolo

enlace

No estoy seguro de si eso será suficiente para resolver tu problema en particular.

¿Sabe qué están usando para verificar la configuración?

ACTUALIZADO:

Esto es de ejecutar man sshd_config en

Ciphers
         Specifies the ciphers allowed for protocol version 2 in order of preference.  Multiple ciphers must be comma-separated.  The supported ciphers are
         “3des-cbc”, “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “arcfour128”, “arcfour256”, “arcfour”,
         “blowfish-cbc”, and “cast128-cbc”.  The default is:

            aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
            aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
            aes256-cbc,arcfour

También la opción Macs :

MACs    Specifies the MAC (message authentication code) algorithms in order of preference.  The MAC algorithm is used in protocol version 2 for data
         integrity protection.  Multiple algorithms must be comma-separated.  The default is:

               hmac-md5,hmac-sha1,[email protected],
               hmac-ripemd160,hmac-sha1-96,hmac-md5-96,
               hmac-sha2-256,hmac-sha2-512

Por lo tanto, les echaría un vistazo y establecería las opciones en su archivo /etc/ssh/sshd_config con los cifrados y macs que desee.

    
respondido por el Casey 25.12.2013 - 17:18
fuente
7

Agregue las siguientes 2 líneas a su archivo /etc/ssh/ssh_config y /etc/ssh/sshd_config :

Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,3des-cbc
MACs hmac-sha1

Reiniciar servicios. Auge. Cumple con FIPS.

    
respondido por el elagrew 29.03.2016 - 23:36
fuente
4

Es 2017 y es hora de actualizar las recomendaciones. Ahora, todos los cifrados * -CBC y RC4 se consideran débiles. Así que nos quedamos con:

MACs hmac-sha2-512,hmac-sha2-256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr

O para cualquier cosa más nueva que admita OpenSSH 6.7 y superior:

Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]

Fuente: enlace

    
respondido por el DmitryK 09.02.2017 - 23:33
fuente
0

Encontré esto mensaje que puede ser útil. Afirma que al agregar las siguientes líneas:

 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128
 MACs hmac-sha1,[email protected],hmac-ripemd160

a la configuración sshd ( /etc/ssh/sshd_config ) puede eliminar estos MAC débiles.

    
respondido por el justin 18.10.2015 - 21:27
fuente

Lea otras preguntas en las etiquetas