Pemindai kerentanan Nessus dilaporkan – SSH Weak Key Exchange Algorithms Diaktifkan dan SSH Server CBC Mode Cipher Diaktifkan. Pesan rinci menunjukkan bahwa server SSH memungkinkan algoritma pertukaran kunci yang dianggap lemah dan mendukung enkripsi Cipher Block Chaining (CBC) yang memungkinkan penyerang untuk memulihkan plaintext dari ciphertext. Nah, tutorial kali ini adalah tentang cara menonaktifkan algoritma pertukaran kunci lemah dan mode enkripsi CBC di server SSH di CentOS Stream 8.
Di bawah ini adalah tangkapan layar langsung dari laporan Nessus.
Cara Menonaktifkan Algoritma Pertukaran Kunci Lemah dan Mode CBC di SSH
Langkah 1: Edit /etc/sysconfig/sshd dan batalkan komentar pada baris berikut.
#CRYPTO_POLICY=
untuk
CRYPTO_POLICY=
Dengan melakukan itu, Anda memilih keluar dari kebijakan kripto yang ditetapkan oleh server. Jika Anda ingin menggunakan kebijakan kripto di seluruh sistem, Anda harus berkomentar CRYPTO_POLICY= dan gunakan update-crypto-policies perintah untuk mengaktifkan/menonaktifkan kebijakan. Pelajari lebih lanjut tentang kebijakan Kripto.
Langkah 2 :Salin cipher, MAC, dan KexAlgorithms berikut ke /etc/ssh/sshd_config .
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
Langkah 3: Verifikasi file konfigurasi sebelum memulai ulang server SSH.
sshd -t
Langkah 4: Jika tidak ada kesalahan yang dilaporkan, restart layanan SSHD.
# systemctl restart sshd
Langkah 5: Uji cipher CBC yang lemah dengan menjalankan perintah di bawah ini.
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
Misalnya:
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc centos@192.168.10.141 ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,umac-128@openssh.com,hmac-sha2-512 debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,umac-128@openssh.com,hmac-sha2-512 debug2: compression ctos: none,zlib@openssh.com debug2: compression stoc: none,zlib@openssh.com debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr
Kesalahan di atas berarti bahwa sandi yang lemah dinonaktifkan. Jika Anda melihat permintaan kata sandi, itu berarti sandi yang lemah diaktifkan.