Плохая спецификация SSH2 для Mac EC2

Jananath Banuka

21.07.2023, 09:54

Я пытаюсь отключить любые слабые шифры/алгоритмы в моих экземплярах ec2. И я добавил следующие строки в /etc/ssh/sshd_config

...
Шифры aes128-ctr, aes192-ctr, aes256-ctr, arcfour256, arcfour128, arcfour
MAC-адреса hmac-sha1,[email protected],hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,[email protected]
...

И когда я пытаюсь перезапустить sshd служба, она не перезапускается должным образом. Так я и сделал;

sshd -t

И я получил следующую ошибку:

Плохая спецификация SSH2 mac 'hmac-sha1,[email protected],hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,[email protected]'

Может ли кто-нибудь помочь мне, как это исправить?

Версия sshd OpenSSH_8.0p1, OpenSSL 1.1.1k FIPS 25 марта 2021 г.

294

0 + 0

линукс

Рейтинг:0

Server

Bob

21.07.2023, 10:14

Поддержка алгоритма RIPE-MD160 HMAC была удален из OpenSSH в 2017 г. в версия 7.6 поэтому вы можете проверить дату публикации и возраст источника, чтобы поддержать ваше решение о том, какие алгоритмы вы хотите включить.

Согласно руководству человек sshd_config список доступных алгоритмов MAC можно получить с помощью ssh -Q макинтош.

Сделайте выбор из тех.

Ныне несуществующий cypherli.st рекомендовал следующие надежные алгоритмы MAC:

MAC-адреса [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,umac-128 @openssh.com

и другие настройки:

KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256

Шифры [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr

Но вы, возможно, захотите подтвердить и их.

0 + 0

Jananath Banuka

21.07.2023, 10:20

Есть ли способ определить, являются ли мои «MAC» или «шифры» слабыми или сильными?

Ответить

Bob

21.07.2023, 10:33

Значения OpenSSH по умолчанию настроены для совместимости с использованием параметров, которые по-прежнему считаются безопасными для общих целей, но они также не ограничивают клиентов в использовании только «наилучшей» криптографической защиты. Как правило, эллиптические кривые, AES считаются хорошими, и более длинные ключи лучше, чем более короткие. Криптография — это постоянно развивающаяся область исследований, и то, что считается слабым и сильным, также развивается с исследованиями и научными прорывами. Это лучше обсудить на https://security.stackexchange.com/ - Также: https://serverfault.com/help/someone-answers

Ответить

Admin

Этот вопрос на других языках:

EN: Bad SSH2 mac spec EC2

TH: SSH2 mac spec ไม่ดี EC2

RO: Specific SSH2 mac EC2 greșit

RU: Плохая спецификация SSH2 для Mac EC2

VI: Thông số kỹ thuật mac SSH2 không hợp lệ EC2

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.