이것SSH에 대한 Terrapin 공격세부사항 1"SSH 프로토콜에 대한 접두사 잘림 공격입니다. 보다 정확하게는 Terrapin은 SSH 보안 채널의 무결성을 손상시킵니다. 핸드셰이크 중에 시퀀스 번호를 주의 깊게 조정함으로써 공격자는 처음에 클라이언트 또는 서버에서 보낸 메시지를 원하는 만큼 제거할 수 있습니다. 클라이언트나 서버가 이를 인지하지 못한 채 메시지를 보안합니다."
이 공격을 완화하려면 SSH 구성을 어떻게 변경하시겠습니까?
답변1
이것은 무서운 공격처럼 들리지만 고치는 것은 간단합니다. 공격을 완화하려면 내테라핀 공격을 중지하세요SSH 구성 세부정보에 대한 문서입니다. 특히 다음과 같이 ETM HMAC 및 ChaCha20 암호를 차단해야 합니다.
최신 RHEL 기반 Linux 시스템(Alma, Rocky Oracle 등)의 경우 다음이 작동합니다.
# cat /etc/crypto-policies/policies/modules/TERRAPIN.pmod
cipher@ssh = -CHACHA20*
ssh_etm = 0
# update-crypto-policies --set DEFAULT:TERRAPIN
Setting system policy to DEFAULT:TERRAPIN
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.
또는 AES-GCM을 강제할 수도 있습니다.취약하지 않음시스템에 암호화 정책이 없거나 사용하지 않는 경우 update-crypto-policies(예를 들어 @StephenKitt가 지적했듯이 Debian/Ubuntu는 기본적으로 암호화 정책을 사용하지 않을 수 있습니다):
# cat /etc/ssh/sshd_config
[...]
Ciphers [email protected]
그런 다음 테스트테스트 도구원래 연구원이 기고했습니다.
답변2
또한 사용하는 것이 좋습니다
데이터 암호 AES-256-GCM
openvpn 서버 구성에서는 (sshd 프로토콜과 관련된 지형으로 인해) 중요하지 않게 보일 수 있지만 더 나은 보호 기능이 있습니다.