SSHの暗号化アルゴリズムを無効化する(脆弱性対応)

SSHの暗号化アルゴリズムを無効化する(脆弱性対応)

①サポートしているアルゴリズムを確認(有効/無効関係なく)

  • cipherの場合
# ssh -Q cipher
3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
  • macの場合
# ssh -Q mac
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
hmac-ripemd160
hmac-ripemd160@openssh.com
umac-64@openssh.com
umac-128@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
hmac-ripemd160-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com

②アルゴリズムを無効化

無効化する、というより、有効化するものを明示的に指定してあげればOK。
①で出力されたアルゴリズムから、無効化したいものを抜いたものをカンマ(,)つなぎで
/etc/ssh/sshd_config および /etc/ssh/ssh_config に記載する。

  • cipherの場合(cbc・arcfourを無効化)
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
  • macの場合(hmac-sha1-96等を無効化)
MACs hmac-sha1,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com

③無効化の確認方法

脆弱性診断ツールを使うか、もしくはSSHコマンドで暗号化方式を指定して接続してみるか。

  • cipherの場合(-cオプション)
# ssh -c 3des-cbc ssh-account@127.0.0.1
no matching cipher found: client 3des-cbc server aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
  • macの場合(-mオプション)
# ssh -m hmac-sha1-96 ssh-account@127.0.0.1
no matching mac found: client hmac-sha1-96 server hmac-sha1,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com

client側とserver側で合致するcipher/macが見つかりません、というようなエラーが出ればそのCipherが無効化されている。

Linuxカテゴリの最新記事