취약점 검사를 통해 Debian 10 시스템에서 안전하지 않은 MAC 알고리즘이 사용되는 것으로 나타났습니다.[이메일 보호됨],[이메일 보호됨],[이메일 보호됨],hmac-sha1
이렇게 하면 ssh -Q mac다음과 같은 결과를 얻습니다.
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
파일에 /etc/ssh/ssh_config주석 처리된 줄이 있습니다 .
# MACs hmac-md5,hmac-sha1,[email protected]
문서에는 umac-64-etm 또는 hmac-sha1-etm에 대한 언급이 없습니다. MAC 키워드 가 전혀 /etc/ssh/sshd_config없습니다 . 이러한 약한 HMAC를 비활성화하는 방법은 무엇입니까?
답변1
지원되는 MAC 알고리즘 목록은 MACs다음과 같은 옵션에 따라 결정됩니다.ssh_config그리고sshd_config. 존재하지 않는 경우 기본값이 사용됩니다. 기본값을 변경하려면 기존 항목을 편집하거나 항목이 없으면 추가하십시오. 예를 들어:
MACs hmac-sha2-256,hmac-sha2-512,[email protected],[email protected],[email protected]
최신 버전의 OpenSSH(그리고데비안 10충분히 새로운) 또한 모든 짧은 MAC 및 MD5 또는 SHA-1 기반 MAC을 비활성화하는 등 차등 사양을 허용합니다.
MACs -*md5*,*sha1,*sha1-*,*-64,*-96
기본 알고리즘 중 실제로 안전하지 않은 알고리즘은 없습니다. 64비트 MAC은 오프라인 사용에 매우 약하지만 단일 연결 내에서만 유효하고 누군가가 64비트 MAC을 손상시키기 전에 시간 초과되는 네트워크 메시지에 적합합니다. (이는 OpenSSH가 보안에 대해 매우 적극적임에도 불구하고 여전히 OpenSSH의 기본 목록에 있음을 의미합니다.) MD5 및 SHA1의 약점으로 인해 해시로서 안전하지 않지만 HMAC 구성은 이러한 약점을 고려하지 않습니다. 규정 준수 이유로 반드시 비활성화해야 하는 경우가 아니라면 최소한 레거시 시스템과의 상호 운용성을 유지하는 것이 좋습니다 hmac-sha1(이는 보안이 아닌 규정 준수와 관련이 있음).
답변2
자일스가 대답했다올바른 방향으로 가고 있지만 아직 전체 그림을 볼 수 없습니다. 구성 파일을 수정한 후 실행 시 목록에 변경 사항이 표시되지 않습니다 ssh -Q mac. ssh -Q mac현재 서버에서 사용되는 것이 아니라 내 SSH 버전에서 지원하는 모든 MAC 알고리즘이 나열되어 있기 때문에 이것을 찾았습니다 .
내가 사용하고 있는 서버가 현재 사용하고 있는 목록을 가져옵니다 sshd -T | egrep '^macs'.
내 경우에는 모두 삭제하고 싶습니다.모래 1알고리즘을 사용하므로 이 줄 MACs -*sha1*을 /etc/ssh/sshd_config.
sshd를 다시 시작하고 systemctl restart sshd실행하면 sshd -T | egrep '^macs'볼 수 있습니다.모래 1알고리즘이 목록에서 제거되었습니다.