RSSCiphers supported in SSH daemon and settings
2 月 17
因為 OpenVAS掃瞄後發現部分主機的SSH Cipher偏舊不合宜, 建議移除, 例如 arcfour128以下, 及CBC
在主機上的 sshd_config 的設定說明( 指令用man sshd_config查看), 表示 Ciphers預設為
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
所以應在 sshd_config 裡設定
Ciphers aes128-ctr,aes192-ctr,aes256-ctr</code>
MACs Specifies the available MAC (message authentication code) algorithms.也需要稍做修改一下
可參考
https://raw.githubusercontent.com/citypw/DNFWAH/master/4/d4_0x02_DNFWAH_gnu-linux_security_baseline_hardening.txt
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
所在 CentOS 6.x 可使用以下設定
Ciphers aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,hmac-sha1
————-後記—————–
PieTTY 0.4 配合主機及安全性
Ciphers aes256-ctr,aes192-ctr,aes128-ctr,blowfish-ctr,3des-ctr
MACs hhmac-sha1,hmac-sha1-96,hmac-md5
PuTTY 0.6 配合主機及安全性
Ciphers aes256-ctr,aes192-ctr,aes128-ctr,blowfish-ctr,3des-ctr
MACs hmac-sha2-256,hmac-sha1,hmac-md5
一般SSH 主機建議加 sshd_config
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,hmac-sha1