Teh Hermit
Page
  • Show page
  • Old revisions
  • Backlinks
  • Back to top
    • Site
  • Recent Changes
  • Media Manager
  • Sitemap
    • User

    Page tools

  • Show page
  • Old revisions
  • Backlinks
  • Back to top

    • Site tools

  • Recent Changes
  • Media Manager
  • Sitemap

    • User tools
    Trace: транспортные_правила

    Differences

    This shows you the differences between two versions of the page.

    Link to this comparison view

    Both sides previous revisionPrevious revision
    Next revision    		Previous revision
    отключаем_небезопасные_алгоритмы_ssh [2025/09/30 10:40] jpотключаем_небезопасные_алгоритмы_ssh [2025/10/01 09:25] (current) jp
    Line 27: Line 27:
     === Отключаем ecdsa-sha2-nistp256 === === Отключаем ecdsa-sha2-nistp256 ===
      
    -Если сервер старше 8.5, чтобы исключить //ecdsa-sha2-nistp256// добавим в конфиг следующие директивы:+Если сервер старше 8.5, чтобы исключить //ecdsa-sha2-nistp256// добавим в конфиг //sshd_config// следующие директивы:
     <code> <code>
     HostKeyAlgorithms -ecdsa-sha2-nistp256 HostKeyAlgorithms -ecdsa-sha2-nistp256
    Line 33: Line 33:
     </code> </code>
      
    -В OpenSSH младше версии 8.5 директива //PubkeyAcceptedAlgorithms// имеет другое название (настройка и эффект ничем не отличается).+В OpenSSH младше версии 8.5 директива //PubkeyAcceptedAlgorithms// имеет другое название (настройка и эффект ничем не отличаются).
     <code> <code>
     PubkeyAcceptedKeyTypes -ecdsa-sha2-nistp256 PubkeyAcceptedKeyTypes -ecdsa-sha2-nistp256
    Line 52: Line 52:
     === Завершаем настройку === === Завершаем настройку ===
      
    -Перед перезапуском //sshd// хорошо бы протестировать конфигурацию - проверить не только синтаксис, но ина всякий случай убедиться в том, что наш сервер поддерживает необходимые директивы. Это сделать просто:+Перед перезапуском //sshd// хорошо бы протестировать конфигурацию - проверить не только синтаксис, но и на всякий случай убедиться в том, что наш сервер поддерживает необходимые директивы. Это сделать просто:
      
       sshd -t   sshd -t
    Line 58: Line 58:
      
       systemctl restart ssh   systemctl restart ssh
    -:!: После отключения, при сканировании NMAP в первую очередь необходимо обращать внимание на результат секции //server_host_key_algorithms//. В //kex_algorithms// nmap, похоже, отображает теоретически возможные алгоритмы для данной версии.  +=== Тестируем отключение === 
    - + Пример тестирования с отключенным алгоритмом Public Key:
    -В любом случае, можно строго проверить возможность использования алгоритма при помощи конкретного подключения с его помощью. Пример:+
      
     <code> <code>
    Line 74: Line 73:
     </WRAP> </WRAP>
      
     +Можно протестировать подключение с использованием конкретного MAC и посмотреть - не согласовывают ли сервер и клиент отключенный ранее алгоритм.
     +
     +:!: Здесь подключение всё равно может установиться, несмотря на опцию. Важно убедиться в том, что отключенный в реальности MAC не согласовывается и не используется.
     +<code>
     +ssh -o MACs=umac-64-etm@openssh.com root@192.168.0.1 -vv
     +</code>
     +
     +Ищем похожие строки в выводе:
     +
     +<code>
     +debug1: kex: algorithm: ...
     +debug1: kex: host key algorithm: ...
     +debug1: kex: server->client mac: ...
     +debug1: kex: client->server mac: ...
     +</code>
     +
     +Данным сканированием NMAP мы также можем проверить протоколы и шифры:
     +
     +  nmap -p22 -n -sV --unprivileged --script ssh2-enum-algos 192.168.0.1
     {{tag>Putty SSH Ubuntu Linux Certificates}} {{tag>Putty SSH Ubuntu Linux Certificates}}
    отключаем_небезопасные_алгоритмы_ssh.1759228807.txt.gz · Last modified: by jp