|
Data de criação |
Autor |
Última revisão |
Validade |
Observações |
|---|---|---|---|---|
28/04/2022 |
Ramissés Araujo |
01/08/2022 |
Até alteração do procedimento |
- |
Passo 1 Para listar as cifras fracas:
ssh -Q cipher | sort -u
ssh -Q mac | sort -u
ssh -Q kex | sort -u
Passo 2 Edite o arquivo vim /etc/ssh/sshd_config e coloque apenas as cifras que não apareceram no relatório, exemplo:
Ciphers <colocar aqui separadas por virgula e sem espaço>
MACs <colocar aqui separadas por virgula e sem espaço>
KexAlgorithms <colocar aqui separadas por virgula e sem espaço>
Passo 2.1 Exemplo em CentOS 6. O seguinte bloco resolve a maioria dos problemas com cifras fracas.
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
KexAlgorithms diffie-hellman-group-exchange-sha256
MACs hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com
HostKey /etc/ssh/ssh_host_rsa_key
RSAAuthentication yes
Passo 3 Reinicie o serviço do SSH.
systemctl restart sshd; systemctl status sshd;
Passo 1 Edite o arquivo vim /etc/ssh/sshd_config e coloque apenas as cifras que não apareceram no relatório. O seguinte bloco resolve resolve a maioria dos problemas com cifras fracas.
Ciphers aes128-ctr,aes128-gcm@openssh.com,aes192-ctr,aes256-ctr,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
KexAlgorithms diffie-hellman-group14-sha1,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,curve25519-sha256,gss-group14-sha1-
Passo 2 Reinicie o serviço do SSH.
systemctl restart sshd; systemctl status sshd;
Passo 1 Para descobrir a localização dos arquivos de cifras:
vim /etc/systemd/system/multi-user.target.wants/sshd.service
Passo 2 Editar o arquivo que contém as cifras usadas, e apague as cifras fracas conforme relatório.
vim /etc/crypto-policies/back-ends/opensshserver.config
Passo 3 Reinicie o serviço do SSH.
systemctl restart sshd; systemctl status sshd;
Passo 1 Para verificar as cifras:
nmap --script ssh2-enum-algos -sV -p <PORTA_SSH> <IP>