はじめに
- プロダクトで某規格に準拠していると、セキュリティについてやんややんや言われることがあり、対応しないといけない羽目になったが、これはこれで勉強になったのでメモを兼ねて残しておきたい。
- 内容はタイトルの通り、Linuxサーバ(RedHat系)にSSHする際に使用される暗号化方式やハッシュアルゴリズムで脆弱なものを無効化する方法である。
手順
- 対象OS:CentOS8(あくまでこの時の対象)
- sshd_configの修正
-
以下を追記
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr -
config修正後、sshdサービスリスタート
systemctl restart sshd -
既存のセッションは切断せず、新規にSSH接続ができることを確認する
ssh -c aes128-cbc hogehoge@127.0.0.1
→この時点ではまだ使用できる
-
- /etc/sysconfig/sshdの修正
- #CRYPTO_POLICYのコメントアウトを外す
- sshdサービスリスタート
systemctl restart sshd - 既存のセッションは切断せず、新規にSSH接続ができることを確認する
ssh -c aes128-cbc hogehoge@127.0.0.1
→この時点でsshd_configで記述したCiphers設定が反映される。
参考
以下を参考にさせていただきました