Pertanyaan :Bagaimana Cara Menonaktifkan Algoritma HMAC Weak Cipher Dan Insecure pada layanan SSH di CentOS/RHEL 8?
Untuk menonaktifkan Cipher yang lemah dan algoritma HMAC yang tidak aman dalam layanan ssh di CentOS/RHEL 8, ikuti petunjuk di bawah ini:
1. Edit /etc/sysconfig/sshd dan batalkan komentar pada baris CRYPTO_POLICY:
Sebelumnya:
# CRYPTO_POLICY=[Original value]
Setelah:
CRYPTO_POLICY=[New value]
2. Pastikan Cipher, MAC, dan KexAlgorithms yang benar telah ditambahkan ke file /etc/ssh/sshd_config.
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
3. Mulai ulang layanan sshd:
# systemctl restart sshd
4. Untuk menguji apakah Cipher CBC yang lemah diaktifkan, jalankan perintah di bawah ini:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [@IP of your Server]
Jika berhasil, itu akan meminta kata sandi. Ini berarti sandi lemah diaktifkan.
Jika gagal, Anda akan menerima pesan seperti ini:
Unable to negotiate withport 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
Ini berarti mitigasi bekerja dengan baik.
5. Untuk menguji apakah algoritma HMAC yang lemah diaktifkan, jalankan perintah di bawah ini:
# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected] [@IP of your Server]Cara Menonaktifkan Algoritma HMAC Weak Cipher Dan Insecure di layanan SSH untuk CentOS/RHEL 6 dan 7