저는 RHEL 7.5를 사용하고 있으며 약한 암호화 알고리즘(예: CBC 기반 암호, 약한 MAC 등)을 비활성화하고 싶습니다.
따라서 해당 취약한 비밀번호를 제외하기 위해 특히 /etc/ssh/sshd_config및 로 시작하는 행을 수정했습니다 .ciphersmacs
예: sshd_config 줄에서 aes128-cbc, 을 제거 aes192-cbc하고 SSH 서버를 다시 시작했습니다.aes256-cbcCiphers
ssh -vv localhost따라서 새 구성을 테스트할 때 SSH 서비스를 제공하는 시스템 내부에서 연결하는 것(즉, 더 이상 취약한 비밀번호를 제공하지 않는 것) 사이에는 차이가 있습니다(해당 peer server KEXINIT proposal섹션을 살펴보았습니다). 이상한 점은 ssh -vv target_ip외부 시스템에서 대상(즉, )에 연결할 때 cbc 기반 비밀번호가 다시 제공된다는 것입니다.
sshd_config를 무시할 수 있는 두 번째 구성 파일이 있습니까? 아니면 뭔가 빠졌나요?
미리 감사드립니다.
답변1
문제가 해결되었습니다. 근본적인 문제는 투명한 SSH 프록시 역할을 하는 중간 방화벽으로 인해 발생합니다. SSH 에이전트는 클라이언트에게 투명한 취약한 비밀번호를 허용합니다.