私はRHEL 7.5を使用しており、弱い暗号化アルゴリズム(CBCベースのパスワード、弱いMACなど)を無効にしたいと思います。
そのため、脆弱なパスワードを除外するために特におよび/etc/ssh/sshd_configで始まる行を修正しました。ciphersmacs
例:sshd_config行からaes128-cbc、を削除しaes192-cbcてSSHサーバーを再起動しました。aes256-cbcCiphers
ssh -vv localhostしたがって、新しい設定をテストするときにSSHサービスを提供するシステム内で接続すること(つまり、脆弱なパスワードを提供しなくなったこと)の間に違いがあります(該当するpeer server KEXINIT proposalセクションを見てみました)。奇妙なことは、ssh -vv target_ip外部システムからターゲット(つまり)に接続すると、cbcベースのパスワードが再度提供されることです。
sshd_configを無視できる2番目の設定ファイルはありますか?それとも何か抜けましたか?
よろしくお願いします。
答え1
問題が解決しました。基本的な問題は、透明なSSHプロキシとして機能する中間ファイアウォールが原因で発生します。 SSH エージェントは、クライアントに透過的な脆弱なパスワードを許可します。