/etc/ssh/sshd_config 파일에 다음 줄이 있습니다.
MACs hmac-sha2-256,hmac-sha2-512,[email protected],[email protected]
MACs [email protected],[email protected],[email protected],[email protected],[email protected]
하지만 여전히 ssh를 사용할 수 ssh -o MACs=hmac-md5-96 user@host
있으며 여기에는 다음 출력이 있습니다 ssh -Q mac
.
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
256과 512로 어떻게 제한할 수 있나요?
답변1
원하는 알고리즘을 구성하는 가장 좋은 방법은 /etc/ssh/sshd_config
파일의 첫 번째 줄과 같은 것을 사용하는 것입니다.
MACs [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
더 안전한 EtM MAC을 먼저 정렬했고, 더 안전한 옵션의 우선순위도 높였습니다. 실제로 SSH 프로토콜에서는 양 당사자가 서버도 지원하는 첫 번째 지원 클라이언트 MAC을 선택해야 하기 때문에 차이가 없습니다. 이 값을 적용하려면 서버를 다시 시작해야 합니다. 그렇지 않으면 변경 사항이 표시되지 않습니다.
귀하의 경우 두 번째 줄은 일부 알고리즘을 제거합니다. 제거하지 않은 것은 HMAC-MD5이며 더 이상 좋은 선택이 아닙니다. 안전한 옵션만 지정하면 안전하지 않은 옵션은 자동으로 제거되므로 이 문제를 해결하는 가장 좋은 방법입니다.
ssh -Q mac
바이너리로 컴파일된 모든 옵션을 나열한다고 해서 구성된 항목이 표시되는 것은 아닙니다. 나열된 옵션 중 다수는 잘못된 선택이지만 안타깝게도 일부 사람들은 지원해야 하는 오래되고 안전하지 않은 운영 체제나 하드웨어를 갖고 있으므로 이러한 옵션을 사용하면 예상치 못한 상황에 유용할 수 있습니다. 따라서 OpenSSH에는 여러 옵션이 포함되어 있으며 그 중 일부는 기본적으로 비활성화되어 있습니다.
또한 AEAD 암호(예: [email protected]
, [email protected]
또는 ) 를 사용하는 경우 [email protected]
AEAD 암호가 MAC 대신 무결성을 제공하므로 MAC 값이 사용되지 않습니다. 따라서 테스트하려면 aes256-ctr
예를 들어 AEAD가 아닌 비밀번호를 선택해야 할 수도 있으므로 테스트 명령은 다음과 같아야 합니다.
ssh -oMACs=hmac-md5 -oCiphers=aes256-ctr user@host