나는 이것에 익숙하지 않지만 명확한 대답을 찾기 위해 모든 곳을 찾고 있습니다.
PCI 규정 준수를 통과하려면 Arcfour 비밀번호를 비활성화해야 합니다.
sshd_conf 및 ssh_conf 파일에서 비밀번호를 편집하려고 시도했지만 소용이 없었습니다.
제가 아는 한 기본 비밀번호는
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
줄에서 arcfour 인스턴스를 제거하고 그 앞에 "-"(빼기 기호)를 추가해 보았지만 그것도 작동하지 않습니다.
arcfour 비밀번호를 비활성화하는 방법은 무엇입니까?
도움이 될 경우를 대비해 CentOS 6.8을 실행하고 있습니다.
답변1
CentOS 5, 6, 7에는 /etc/ssh/sshd_config 파일에 Ciphers 줄이 없으므로 기본 암호의 전체 목록을 얻을 수 있습니다. 따라서 arcfour를 제외하려면 sshd_config 파일에 다음 줄을 추가하세요.
# restrict ciphers to exclude arcfour
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
그런 다음 SSH를 다시 시작하십시오.
서비스 sshd 다시 시작
위에서 언급했듯이 다음을 사용하여 테스트할 수 있습니다.
ssh <hostname> -c arcfour
지정된 암호가 비활성화된 경우 다음과 유사한 응답을 받게 됩니다.
no matching cipher found: client arcfour server aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
그렇지 않으면 일반적인 로그인 프로세스가 표시됩니다.
답변2
Centos, RHEL, Oracle Linux 5, 6, 7에서는 bash 셸에서 루트로 다음 명령을 실행하면 됩니다.
echo "Ciphers $(ssh -Q cipher | grep -v arcfour | while read r; do echo -n "$r," ; done)" >>/etc/ssh/sshd_config && /sbin/service sshd restart
답변3
1 단계
sshd 구성에서 비밀번호 "arcfour128", "arcfour256" 및 "arcfour"를 제거하십시오.
2 단계
SSH를 다시 시작합니다:service sshd restart