저는 Red Hat의 암호화 정책 프레임워크를 사용하는 Rocky Linux 8 및 9를 사용하고 있습니다. 이제 sshd가 특정 알고리즘을 사용하지 못하도록 정책의 일부 설정을 조정하고 싶습니다. 그러나 암호화 정책이 제공되어야 하기 때문에 이러한 알고리즘의 이름을 알 수 없습니다.
텍스트 파일 을 작성 /etc/crypto-policies/policies/modules/DEPRECATED-SSH-ALGOS.pmod중이며 DEFAULT:DEPRECATED-SSH-ALGOS./etc/crypto-policies/config
문제는 DEPRECATED-SSH-ALGOS.pmod 파일의 내용에 있습니다. 일부 알고리즘은 성공적으로 비활성화할 수 있지만 다른 알고리즘은 비활성화할 수 없습니다.
파일의 "작업" 버전:
cipher@ssh = -AES-*-CBC
mac@SSH = -*-SHA1 -HMAC-SHA2-256 -HMAC-SHA2-512
하지만 나는 다음과 같은 것을 사용하고 싶습니다 :
cipher@ssh = -AES-*-CBC
mac@SSH = -*-SHA1 -HMAC-SHA2-256 -HMAC-SHA2-512 [email protected]
key_exchange@SSH = -*-SHA1 -ECDH-SHA2-NISTP256 -ECDH-SHA2-NISTP384 -ECDH-SHA2-NISTP521
그러나 다음을 수행하면 암호화 정책 프레임워크가 다음과 같이 불평합니다 update-crypto-policies --set.
AlgorithmEmptyMatchError: Bad value of policy property `key_exchange`: `ecdh-sha2-nistp256`
Errors found in policy, first one:
Bad value of policy property `key_exchange`: `ECDH-SHA2-NISTP256`
질문
암호화 정책 파일에 넣을 수 있는 알고리즘의 이름은 무엇입니까? 아니면 어디서 찾을 수 있습니까?
답변1
/etc/crypto-policies/back-ends/opensshserver.config
확인하다: https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/2021-12-03/finding/V-230251
RHEL 8은 기본적으로 시스템 전체 암호화 정책을 통합합니다. /etc/sysconfig/sshd 파일에 특별히 정의되지 않은 한 SSH 구성 파일은 암호, MAC 또는 알고리즘에 영향을 미치지 않습니다. 사용된 알고리즘은 /etc/crypto-policies/back-ends/opensshserver.config 파일에서 볼 수 있습니다.
다음 줄로 "/etc/crypto-policies/back-ends/opensshserver.config" 파일을 업데이트하여 FIPS 140-2 승인 알고리즘이 있는 MAC만 사용하도록 RHEL 8 SSH 서버를 구성합니다.
변경 사항을 적용하려면 다시 시작해야 합니다.
V-230252:CRYPTO_POLICY='-oCiphers=aes256-ctr,aes192-ctr,aes128-ctr,[email protected],[email protected]'
V-255924:-oKexAlgorithms=ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
또한 살펴보세요V230254openssl의 경우 참고하세요. 이 모든 것을 다음과 같이 생각하세요.지침.
반품:
사용자 정의 암호화 정책을 정의하려면 update-crypto-policies(8) 매뉴얼 페이지의 사용자 정의 정책 섹션과 crypto-policies(7) 매뉴얼 페이지의 암호화 정책 정의 형식 섹션을 참조하십시오.
man crypto-policies 7 ...암호화 정책 정의 형식