Deaktiver svage Hash-baserede meddelelsesgodkendelseskoder HMAC'er i SSH-tjenester

  • Blog
  • Deaktiver svage Hash-baserede meddelelsesgodkendelseskoder HMAC'er i SSH-tjenester

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Deaktiver svage Hash-baserede meddelelsesgodkendelseskoder HMAC'er i SSH-tjenester

2 min læses

Indholdsfortegnelse

Hvad er HMAC'er #

HMAC'er, eller Hash-baserede Message Authentication Codes, er kryptografiske konstruktioner, der bruger en hemmelig nøgle og en hashfunktion til at verificere integriteten og ægtheden af ​​data eller meddelelser. HMAC'er giver mulighed for at sikre, at data ikke er blevet manipuleret under transmissionen, og at de stammer fra en pålidelig kilde. De involverer at kombinere dataene med en hemmelig nøgle, hash resultatet og derefter sammenligne det med en reference HMAC i modtagerens ende, hvilket tilbyder en sikker metode til at bekræfte datavaliditeten i forskellige applikationer, herunder sikre kommunikations- og autentificeringssystemer.

I SSH (Secure Shell)-tjenester som SSHd (SSH-dæmon) bruges HMAC'er til at øge sikkerheden i kommunikationen mellem en klient og server. Under SSH-nøgleudvekslingsprocessen forhandler serveren og klienten om et sæt kryptografiske algoritmer, inklusive HMAC-algoritmen, der skal bruges til verifikation af dataintegritet. Den valgte HMAC-algoritme, kombineret med en delt hemmelig nøgle, bruges til at generere HMAC-tags til udgående pakker og verificere integriteten af ​​indgående pakker. Dette sikrer, at de data, der udveksles mellem klienten og serveren, ikke er blevet ændret under transmissionen, hvilket sikrer mod manipulation og sikrer ægtheden af ​​kommunikationen, et vigtigt aspekt af SSH's sikkerhedsmodel.

Deaktiver svage cifre i SSHD #

For at øge sikkerheden for SSHd-tjenesten skal du muligvis ændre SSH's chiffer, MAC og nøglealgoritmer for at sikre, at der ikke bruges MD5 eller 96-bit HMAC (hmac-md5 hmac-md5-96 hmac-sha1-96). Fortsæt venligst med følgende trin.

Tjek eksisterende SSHd-konfiguration #

Undersøg den aktuelle SSH-konfiguration for at identificere de tilladte cifre, MAC'er og nøglealgoritmer. Brug følgende kommando til at indsamle disse oplysninger:

root@noid-ee-01:~# sshd -T | grep "\(cifre\|macs\|kexalgorithms\)"
ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
macs umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
kexalgoritmer curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1

Rediger SSHD-konfiguration #

For at forbedre sikkerheden bør du overveje at deaktivere svagere cifre og MAC'er. Brug en teksteditor (som f nano or vi) for at redigere SSHD-konfigurationsfilen (placeret på / Etc / ssh / sshd_config). Fjern de chiffer og MAC'er, du ikke vil tillade, og gem filen. Hvis konfigurationen ikke eksisterer, skal du tilføje nye linjer i slutningen af ​​filen.

ciphers aes128-ctr,aes192-ctr,aes256-ctr
macs hmac-sha1,hmac-sha2-256,hmac-sha2-512

Genstart SSHD-tjenesten #

Når du har foretaget ændringer, skal du genstarte SSHD-tjenesten for at anvende den nye konfiguration.

root@noid-ee-01:~# systemctl genstart sshd

Tjek den nye konfiguration #

Bekræft den opdaterede konfiguration med den samme kommando som før.

root@nid-ee-01:~# sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"
ciphers aes128-ctr,aes192-ctr,aes256-ctr
macs hmac-sha1,hmac-sha2-256,hmac-sha2-512
kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1

Disse trin hjælper med at styrke SSH-sikkerheden ved at konfigurere SSH til at bruge mere sikre krypteringspakker og MAC'er, mens de deaktiverer svagere muligheder, hvilket forbedrer den overordnede sikkerhed for SSHd-tjenesten. Vær opmærksom på, at ændring af disse indstillinger kan påvirke kompatibiliteten med ældre eller mindre sikre SSH-klienter, så sørg for, at dine ændringer stemmer overens med dine specifikke sikkerhedskrav.

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs