Pemindai kerentanan Nessus dilaporkan – SSH Weak Key Exchange Algorithms Diaktifkan dan SSH Server CBC Mode Cipher Diaktifkan. Pesan rinci menunjukkan bahwa server SSH memungkinkan algoritma pertukaran kunci yang dianggap lemah dan mendukung enkripsi Cipher Block Chaining (CBC) yang memungkinkan penyerang untuk memulihkan plaintext dari ciphertext. Nah, tutorial kali ini adalah tentang cara menonaktifkan algoritma pertukaran kunci lemah dan mode enkripsi CBC di server SSH di CentOS Stream 8.
Di bawah ini adalah tangkapan layar langsung dari laporan Nessus.
Cara Menonaktifkan Algoritma Pertukaran Kunci Lemah dan Mode CBC di SSH
Langkah 1: Edit /etc/sysconfig/sshd dan batalkan komentar pada baris berikut.
#CRYPTO_POLICY=
untuk
CRYPTO_POLICY=
Dengan melakukan itu, Anda memilih keluar dari kebijakan kripto yang ditetapkan oleh server. Jika Anda ingin menggunakan kebijakan kripto di seluruh sistem, Anda harus berkomentar CRYPTO_POLICY= dan gunakan update-crypto-policies perintah untuk mengaktifkan/menonaktifkan kebijakan. Pelajari lebih lanjut tentang kebijakan Kripto.
Langkah 2 :Salin cipher, MAC, dan KexAlgorithms berikut ke /etc/ssh/sshd_config .
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
Langkah 3: Verifikasi file konfigurasi sebelum memulai ulang server SSH.
sshd -t
Langkah 4: Jika tidak ada kesalahan yang dilaporkan, restart layanan SSHD.
# systemctl restart sshd
Langkah 5: Uji cipher CBC yang lemah dengan menjalankan perintah di bawah ini.
ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@server-ip]
Misalnya:
$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] ::::::::::::::::::::::::::::::::::::::: debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 debug2: ciphers ctos: [email protected],[email protected],aes256-ctr debug2: ciphers stoc: [email protected],[email protected],aes256-ctr debug2: MACs ctos: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: MACs stoc: [email protected],[email protected],[email protected],hmac-sha2-256,[email protected],hmac-sha2-512 debug2: compression ctos: none,[email protected] debug2: compression stoc: none,[email protected] debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 Unable to negotiate with 192.168.10.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
Kesalahan di atas berarti bahwa sandi yang lemah dinonaktifkan. Jika Anda melihat permintaan kata sandi, itu berarti sandi yang lemah diaktifkan.