/etc/ssh/sshd_config ファイルに次の行があります。
MACs hmac-sha2-256,hmac-sha2-512,[email protected],[email protected]
MACs [email protected],[email protected],[email protected],[email protected],[email protected]
ただし、まだsshを使用できます。ssh -o MACs=hmac-md5-96 user@host
ここには次の出力がありますssh -Q mac
。
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
256と512にどのように制限できますか?
答え1
目的のアルゴリズムを構成する最善の方法は、/etc/ssh/sshd_config
ファイルの最初の行のようなものを使用することです。
MACs [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
より安全なEtM MACを最初にソートし、より安全なオプションの優先順位も高くしました。実際、SSHプロトコルでは、両当事者がサーバーもサポートする最初のサポートクライアントMACを選択する必要があるため、違いはありません。この値を適用するには、サーバーを再起動する必要があります。それ以外の場合、変更は表示されません。
あなたの場合、2行目はいくつかのアルゴリズムを削除します。削除していないのはHMAC-MD5であり、もはや良い選択ではありません。安全なオプションのみを指定すると、安全でないオプションは自動的に削除されるため、この問題を解決するための最良の方法です。
ssh -Q mac
バイナリでコンパイルされたすべてのオプションを一覧表示しても、構成された項目が表示されるわけではありません。リストされているオプションの多くは間違った選択ですが、残念ながら、一部の人々はサポートする必要がある古い安全でないオペレーティングシステムまたはハードウェアを持っているため、これらのオプションを使用すると予期しない状況に役立ちます。したがって、OpenSSHにはいくつかのオプションが含まれており、その一部はデフォルトで無効になっています。
さらに、AEADパスワード(たとえば、[email protected]
または[email protected]
)を使用している場合、[email protected]
AEADパスワードはMACの代わりに整合性を提供するため、MAC値は使用されません。したがって、テストするには、aes256-ctr
たとえばAEADではなくパスワードを選択する必要があるため、テストコマンドは次のようにする必要があります。
ssh -oMACs=hmac-md5 -oCiphers=aes256-ctr user@host