那些遇到过的问题

CentOS 8:未来安全策略 AES256-CBC

mil*_*non 1 security ssh centos

我试图禁用 CentOS 8 上 OpenSSH 服务器中使用的 AES256-CBC 密码,同时将安全策略设置为“未来”。

根据本页的表格(请参阅“在加密策略级别中启用的密码套件和协议”),未来的加密策略似乎不应启用 CBC 模式密码(请参阅与“未来”和“CBC 模式密码”)。

我运行此命令将我的 CentOS 8 系统从默认更改为未来:

sudo update-crypto-policies --set FUTURE
Run Code Online (Sandbox Code Playgroud)

随后重新启动:

sudo reboot
Run Code Online (Sandbox Code Playgroud)

然而,Nessus 扫描显示 SSH 服务支持“aes256-cbc”算法。此输出对应于Nessus插件

经过一番调查,服务(和客户端)的未来安全策略文件似乎确实包含“aes256-cbc”:

$ grep aes256-cbc /usr/share/crypto-policies/FUTURE/openssh*.txt
/usr/share/crypto-policies/FUTURE/opensshserver.txt:CRYPTO_POLICY='-oCiphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc -oMACs=umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512 -oGSSAPIKeyExchange=no -oKexAlgorithms=curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512 -oHostKeyAlgorithms=rsa-sha2-256,ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,rsa-sha2-512,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com -oPubkeyAcceptedKeyTypes=rsa-sha2-256,ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,rsa-sha2-512,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com'
/usr/share/crypto-policies/FUTURE/openssh.txt:Ciphers aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc
Run Code Online (Sandbox Code Playgroud)

我可以使 SSH 选择退出全局安全策略(并Ciphers手动在 sshd_config 中设置)或手动编辑 /usr/share/crypto-policies/FUTURE/openssh*.txt 文件以排除 CBC,但我不喜欢其中任何一个的想法。

这是否可能是 Centos 8 安全策略配置中的一个错误,或者是否有某种方法可以在不手动指定密码列表的情况下禁用 CBC?

小智 5

经过几个小时的工作,我解决了这个问题

您需要在目录 /etc/crypto-policies/policies/modules/中创建自定义策略,设置规则以禁用 CBC 密码

例子

vim /etc/crypto-policies/policies/modules/NO-CBC.pmod
Run Code Online (Sandbox Code Playgroud)

在此文件中,您应该放置所有要禁用的密码,如下所示:

tls_cipher = -AES-256-CBC -AES-128-CBC
cipher = -AES-128-CBC -AES-256-CBC -CAMELLIA-256-CBC -CAMELLIA-128-CBC
ssh_cipher = -AES-128-CBC -AES-256-CBC
Run Code Online (Sandbox Code Playgroud)

保存后,您需要加载包含您创建的修改的策略。就我而言,我使用的是“未来”政策。您可以选择任何策略,但不要忘记设置修改器,如下所示:

update-crypto-policies --set FUTURE:NO-CBC
Run Code Online (Sandbox Code Playgroud)

现在,只需重新启动 sshd 服务,CBC 将被禁用。

systemctl 重新启动 sshd

归档时间:

查看次数:

4313 次

最近记录:

4 年,5 月 前
相关归档
如果您意识到您的电子邮件托管服务提供商可以看到您的密码,您会怎么做? 31
在 CentOS 上将 Subversion 1.6 升级到 1.7?(找不到 yum 存储库) 18
Elastic Beanstalk 的环境变量是否适合存储秘密值? 16
如何限制反向 SSH 隧道端口? 9
配置 SSH 以允许端口转发但没有特定密钥的命令? 8
在 CentOS 上查找已用空间 7
Ansible Playbook:确保进程在集群的任何一个节点上运行? 6
无法使用任何 yum 命令:设备上没有剩余空间 2
certbot 在 Linux 上运行的进程是什么? 1
关于域控制器的问题 0
难疑归档
运行 Oracle SQL 脚本并通过命令提示符退出 sqlplus.exe 132
使用 S3 的 Amazon Cloudfront。拒绝访问 126
nginx - 客户端请求正文被缓冲到一个临时文件 84
循环 DNS 是否“足够好”用于负载平衡静态内容? 67
xvda1 已 100% 满,这是什么?怎么修? 63
Linux FHS:/srv vs /var ...我把东西放在哪里? 62
有没有办法将输出重定向到文件而不在 unix/linux 上缓冲? 59
apt-get 的 -qq 参数是什么意思? 58
2-4GB 系统上有多少 SWAP 空间? 53
灰名单仍然是防止垃圾邮件的有效方法吗? 52