Что такое HMAC #
HMAC, или коды аутентификации сообщений на основе хэша, представляют собой криптографические конструкции, которые используют секретный ключ и хеш-функцию для проверки целостности и подлинности данных или сообщений. HMAC позволяют гарантировать, что данные не были подделаны во время передачи и что они получены из надежного источника. Они включают в себя объединение данных с секретным ключом, хеширование результата, а затем сравнение его с эталонным HMAC на стороне получателя, предлагая безопасный метод подтверждения достоверности данных в различных приложениях, включая системы безопасной связи и аутентификации.
В службах SSH (Secure Shell), таких как SSHd (демон SSH), HMAC используются для повышения безопасности связи между клиентом и сервером. В процессе обмена ключами SSH сервер и клиент согласовывают набор криптографических алгоритмов, включая алгоритм HMAC, которые будут использоваться для проверки целостности данных. Выбранный алгоритм HMAC в сочетании с общим секретным ключом используется для создания тегов HMAC для исходящих пакетов и проверки целостности входящих пакетов. Это гарантирует, что данные, которыми обмениваются клиент и сервер, не были изменены во время передачи, защищая от несанкционированного доступа и обеспечивая подлинность связи, что является жизненно важным аспектом модели безопасности SSH.
Отключить слабые шифры в SSHD #
Чтобы повысить безопасность службы SSHd, вам может потребоваться изменить шифр SSH, MAC и алгоритмы ключей, чтобы гарантировать, что не используются MD5 или 96-битный HMAC (hmac-md5 hmac-md5-96 hmac-sha1-96). Пожалуйста, выполните следующие шаги.
Проверьте существующую конфигурацию SSHd #
Изучите текущую конфигурацию SSH, чтобы определить разрешенные шифры, MAC-адреса и ключевые алгоритмы. Используйте следующую команду для сбора этой информации:
root@noid-ee-01:~# sshd -T | grep "\(шифры\|macs\|kexalgorithms\)" шифры chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com Маков umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 кексалгоритмы curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1
Редактировать конфигурацию SSHD #
Чтобы повысить безопасность, рассмотрите возможность отключения более слабых шифров и MAC-адресов. Используйте текстовый редактор (например, карликовый or vi), чтобы отредактировать файл конфигурации SSHD (расположенный по адресу / И т.д. / SSH / sshd_config). Удалите шифры и MAC-адреса, которые вы не хотите разрешать, и сохраните файл. Если конфигурация не существует, добавьте новые строки в конец файла.
ciphers aes128-ctr,aes192-ctr,aes256-ctr macs hmac-sha1,hmac-sha2-256,hmac-sha2-512
Перезапустите службу SSHD. #
После внесения изменений перезапустите службу SSHD, чтобы применить новую конфигурацию.
root@noid-ee-01:~# systemctl перезапустите sshd
Проверьте новую конфигурацию #
Проверьте обновленную конфигурацию, используя ту же команду, что и раньше.
root@nid-ee-01:~# sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)" ciphers aes128-ctr,aes192-ctr,aes256-ctr macs hmac-sha1,hmac-sha2-256,hmac-sha2-512 kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1
Эти шаги помогают усилить безопасность SSH за счет настройки SSH на использование более безопасных наборов шифров и MAC-адресов при отключении более слабых опций, что повышает общую безопасность службы SSHd. Имейте в виду, что изменение этих настроек может повлиять на совместимость со старыми или менее безопасными SSH-клиентами, поэтому убедитесь, что ваши изменения соответствуют вашим конкретным требованиям безопасности.
