概要
SSHで使われる暗号方式のCBCモード(Cipher Block Chaining)を無効化し、CTRモード(CounTR)など別のモードを使うように変更します。
暗号化方式を確認
現在の環境でサポートされている暗号化方式を確認
# ssh -Q cipher
3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com暗号化方式を指定
sshd(sshサーバー)およびssh(sshクライアント)の設定ファイルにて、前述の手順で確認できた5つの暗号化方式を除いた暗号化方式を指定
# pwd
/etc/ssh
# cp -p ssh_config ssh_config.org
# cp -p sshd_config sshd_config.org
# vi ssh_config
※下記エントリを追加
Ciphers arcfour,arcfour128,arcfour256,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
# vi sshd_config
※下記エントリを追加
Ciphers arcfour,arcfour128,arcfour256,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.comSSHサービス再起動
SSHサービス再起動
# systemctl restart sshd動作確認
3des-cbcでログインできなくなります
例
# ssh -c 3des-cbc username@11.11.22.22
Unable to negotiate with 11.11.22.22 port 22: no matching cipher found. Their offer: arcfour,arcfour128,arcfour256,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com参考リンク
ありがとうございます
コメント