私はRed Hatの暗号化ポリシーフレームワークを使用するRocky Linux 8と9を使用しています。ここで、sshdが特定のアルゴリズムを使用しないように、ポリシーのいくつかの設定を調整したいと思います。ただし、暗号化ポリシーを提供する必要があるため、これらのアルゴリズムの名前は不明です。
テキストファイルを作成してい/etc/crypto-policies/policies/modules/DEPRECATED-SSH-ALGOS.pmodますDEFAULT:DEPRECATED-SSH-ALGOS。/etc/crypto-policies/config
問題は、DEPRECATED-SSH-ALGOS.pmod ファイルの内容にあります。一部のアルゴリズムは正常に無効にできますが、他のアルゴリズムは無効にすることはできません。
ファイルの「作業」バージョン:
cipher@ssh = -AES-*-CBC
mac@SSH = -*-SHA1 -HMAC-SHA2-256 -HMAC-SHA2-512
しかし、私は次のようなものを使用したいと思います:
cipher@ssh = -AES-*-CBC
mac@SSH = -*-SHA1 -HMAC-SHA2-256 -HMAC-SHA2-512 [email protected]
key_exchange@SSH = -*-SHA1 -ECDH-SHA2-NISTP256 -ECDH-SHA2-NISTP384 -ECDH-SHA2-NISTP521
ただし、次のようにすると、暗号化ポリシーフレームワークは次のように文句を言いますupdate-crypto-policies --set。
AlgorithmEmptyMatchError: Bad value of policy property `key_exchange`: `ecdh-sha2-nistp256`
Errors found in policy, first one:
Bad value of policy property `key_exchange`: `ECDH-SHA2-NISTP256`
質問
暗号化ポリシーファイルに入れることができるアルゴリズムの名前は何ですか?それともどこで見つけることができますか?
答え1
/etc/crypto-policies/back-ends/opensshserver.config
確認する: https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/2021-12-03/finding/V-230251
RHEL 8はデフォルトでシステム全体の暗号化ポリシーを統合します。 /etc/sysconfig/sshd ファイルで特に定義されていない限り、SSH 構成ファイルはパスワード、MAC、アルゴリズムには影響しません。使用されるアルゴリズムは、/etc/crypto-policies/back-ends/opensshserver.configファイルにあります。
次の行で「/etc/crypto-policies/back-ends/opensshserver.config」ファイルを更新して、FIPS 140-2承認アルゴリズムを持つMACのみを使用するようにRHEL 8 SSHサーバーを構成します。
変更を適用するには再起動する必要があります。
V-230252:CRYPTO_POLICY='-oCiphers=aes256-ctr,aes192-ctr,aes128-ctr,[email protected],[email protected]'
V-255924:-oKexAlgorithms=ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
また見てくださいV230254opensslの場合は参考にしてください。これらすべてを次のように考えてください。ガイドライン。
返品:
カスタム暗号化ポリシーを定義するには、update-crypto-policies(8)のマニュアルページの「カスタムポリシー」セクションと、crypto-policies(7)のマニュアルページの「暗号化ポリシー定義のフォーマット」セクションを参照してください。
man crypto-policies 7 ...暗号化ポリシー定義形式