Cum să dezactivați diffie-hellman-group1-sha1 pentru SSH (Administrarea sistemului, Ssh)

Justin Clarke a intrebat.

Am constatat că serverul meu prin SSH încă acceptă diffie-hellman-group1-sha1. Pentru a rămâne în conformitate cu cea mai recentă conformitate PCI, am încercat să aflu cum să dezactivez diffie-hellman-group1-sha1. Weakdh.org nu oferă exact instrucțiuni clare despre cum să dezactivez acest lucru și nici nimic pe web. Care este modalitatea corectă de a dezactiva acest algoritm fără a dezactiva portul 22 pentru SSH pe Ubuntu? Mai jos este ce algoritmi suportă serverul meu atunci când rulează ssh -Q kex.

diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
diffie-hellman-group1-sha1
[email protected]

Comentarii

3 răspunsuri
Jakuje

rulează ssh -Q kex

vă oferă lista de client algoritmi suportați de client. Cei de pe server îi veți obține de la sshd -T | grep kex (pe server, bineînțeles).

Iar dacă doriți să eliminați unul, luați lista pe care o obțineți din comanda anterioară, eliminați algoritmul care vă interesează și puneți-l în /etc/ssh/sshd_config (sau înlocuiți linia existentă acolo cu algoritmii kex).

Sham Antony

man sshd_config

 KexAlgorithms
         Specifies the available KEX (Key Exchange) algorithms.  Multiple algorithms must be comma-separated.  The default is

               [email protected],
               ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
               diffie-hellman-group-exchange-sha256,
               diffie-hellman-group-exchange-sha1,
               diffie-hellman-group14-sha1,
               diffie-hellman-group1-sha1

Deci, pentru a dezactiva „diffie-hellman-group1-sha1” , specificați Algoritmii necesari cu parametrul KexAlgorithms

Exemplu

KexAlgorithms diffie-hellman-group-exchange-sha256,[email protected],

stratagemă

În OpenSSH 7.6, dacă doriți să eliminați una sau mai multe opțiuni și să lăsați restul valorilor implicite, puteți adăuga următoarea linie la /etc/ssh/sshd_config:

KexAlgorithms -diffie-hellman-group1-sha1,ecdh-sha2-nistp256

Rețineți că - la începutul listei separate prin virgulă. Linia de mai sus ar dezactiva diffie-hellman-group1-sha1 și ecdh-sha2-nistp256.

Acest lucru este detaliat în continuare în man sshd_config la adresa KexAlgorithms:

If the specified value begins with a ‘-’ character, then the specified methods (including
wildcards) will be removed from the default set instead of replacing them.

O ultimă observație, după ce ați făcut orice modificare la /etc/ssh/sshd_config verificați-le întotdeauna folosind sshd -t înainte de a reporni sshd.

Tags: