it-swarm-eu.dev

Come indurire SSH su CentOS 6.5

Ho un nuovo server CentOS 6.5 (prima volta) utilizzato per un server web. Il nostro team di sicurezza ha identificato i seguenti punti deboli:

Il server SSH è configurato per consentire gli algoritmi MD5 o MAC a 96 bit, entrambi considerati deboli. Si noti che questo plug-in controlla solo le opzioni del server SSH e non verifica la presenza di versioni software vulnerabili.

Uscita plug-in Sono supportati i seguenti algoritmi da metodo di autenticazione del metodo client-server (MAC): hmac-md5 hmac-md5-96 hmac-sha1-96

Come disabilitare gli algoritmi MD5 e/o MAC a 96 bit su un server CentOS 6.5? Ho provato a correre: authconfig --disablemd5 --updateall ma ho ancora avuto lo stesso problema.

11
user739866

Non ne sono completamente sicuro, ma potresti voler guardare l'impostazione del protocollo in sshd_config.

Da http://wiki.centos.org/HowTos/Network/SecuringSSH

# Protocol 2,1
Protocol 2

Modificare il protocollo 1 in protocollo 2 e riavviare. Questo dovrebbe già essere impostato su Protocol 2 in Centos 6.5, ma potresti voler ricontrollare.

Ho trovato questo esaurimento delle diverse opzioni di protocollo

http://www.snailbook.com/faq/ssh-1-vs-2.auto.html

Non sono sicuro se ciò sarà sufficiente per risolvere il tuo problema specifico.

Sai cosa stanno usando per verificare la configurazione?

AGGIORNAMENTO:

Questo è in esecuzione man sshd_config su

Ciphers
         Specifies the ciphers allowed for protocol version 2 in order of preference.  Multiple ciphers must be comma-separated.  The supported ciphers are
         “3des-cbc”, “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “arcfour128”, “arcfour256”, “arcfour”,
         “blowfish-cbc”, and “cast128-cbc”.  The default is:

            aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
            aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
            aes256-cbc,arcfour

Anche l'opzione Macs:

MACs    Specifies the MAC (message authentication code) algorithms in order of preference.  The MAC algorithm is used in protocol version 2 for data
         integrity protection.  Multiple algorithms must be comma-separated.  The default is:

               hmac-md5,hmac-sha1,[email protected],
               hmac-ripemd160,hmac-sha1-96,hmac-md5-96,
               hmac-sha2-256,hmac-sha2-512

Quindi darei un'occhiata attraverso quelli e impostare le opzioni nel tuo /etc/ssh/sshd_config file con le cifre e i mac che desideri.

11
Casey

Aggiungi le seguenti 2 righe al tuo /etc/ssh/ssh_config e il /etc/ssh/sshd_config file:

Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,3des-cbc
MACs hmac-sha1

Riavvia i servizi. Boom. FIPS.

7
elagrew

È il 2017 ed è tempo di aggiornare i consigli. Ora entrambe le cifre * -CBC e RC4 sono considerate deboli. Quindi restiamo con:

MACs hmac-sha2-512,hmac-sha2-256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr

O per qualsiasi novità che supporti OpenSSH 6.7 e versioni successive:

Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]

Fonte: https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Configuration

6
DmitryK

Ho trovato questo post che potrebbe essere utile. Lo afferma aggiungendo le seguenti righe:

 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128
 MACs hmac-sha1,[email protected],hmac-ripemd160

nella configurazione sshd (/etc/ssh/sshd_config) puoi rimuovere questi MAC deboli.

0
justin