Differences

This shows you the differences between two versions of the page.

View differences: Side by SideInline Go

Link to this comparison view

Both sides previous revisionPrevious revision 2025/10/01 09:25 jp 2025/10/01 09:25 jp 2025/10/01 09:23 jp 2025/10/01 09:22 jp 2025/10/01 09:21 jp 2025/10/01 09:20 jp 2025/10/01 09:18 jp 2025/10/01 09:11 jp 2025/09/30 10:41 jp 2025/09/30 10:40 jp 2025/09/30 10:39 jp 2025/09/30 10:37 jp 2025/09/29 12:05 jp 2025/09/29 10:27 jp 2025/09/29 10:26 jp 2025/09/29 10:04 jp 2025/09/29 10:03 jp 2025/09/29 10:02 jp 2025/09/29 10:01 jp 2025/09/29 09:34 jp 2025/09/29 09:14 jp 2025/09/26 13:19 jp 2025/09/26 13:17 jp 2025/09/26 10:46 jp 2025/09/26 10:45 jp 2025/09/26 10:43 jp 2025/09/26 10:43 jp 2025/09/26 10:42 jp 2025/09/26 10:37 jp 2025/09/26 10:36 jp 2025/09/26 10:35 jp 2025/09/26 10:34 jp 2025/09/26 10:32 jp Go Next revision		Previous revision 2025/10/01 09:25 jp 2025/10/01 09:25 jp 2025/10/01 09:23 jp 2025/10/01 09:22 jp 2025/10/01 09:21 jp 2025/10/01 09:20 jp 2025/10/01 09:18 jp 2025/10/01 09:11 jp 2025/09/30 10:41 jp 2025/09/30 10:40 jp 2025/09/30 10:39 jp 2025/09/30 10:37 jp 2025/09/29 12:05 jp 2025/09/29 10:27 jp 2025/09/29 10:26 jp 2025/09/29 10:04 jp 2025/09/29 10:03 jp 2025/09/29 10:02 jp 2025/09/29 10:01 jp 2025/09/29 09:34 jp 2025/09/29 09:14 jp 2025/09/26 13:19 jp 2025/09/26 13:17 jp 2025/09/26 10:46 jp 2025/09/26 10:45 jp 2025/09/26 10:43 jp 2025/09/26 10:43 jp 2025/09/26 10:42 jp 2025/09/26 10:37 jp 2025/09/26 10:36 jp 2025/09/26 10:35 jp 2025/09/26 10:34 jp 2025/09/26 10:32 jp 2025/09/26 10:32 jp 2025/09/26 10:29 jp createdGo
отключаем_небезопасные_алгоритмы_ssh [2025/10/01 09:11] – jp		отключаем_небезопасные_алгоритмы_ssh [2025/10/01 09:25] (current) – jp
Line 27:		Line 27:
	=== Отключаем ecdsa-sha2-nistp256 ===		=== Отключаем ecdsa-sha2-nistp256 ===
-	Если сервер старше 8.5, чтобы исключить //ecdsa-sha2-nistp256// добавим в конфиг следующие директивы:	+	Если сервер старше 8.5, чтобы исключить //ecdsa-sha2-nistp256// добавим в конфиг //sshd_config// следующие директивы:
	<code>		<code>
	HostKeyAlgorithms -ecdsa-sha2-nistp256		HostKeyAlgorithms -ecdsa-sha2-nistp256
Line 33:		Line 33:
	</code>		</code>
-	В OpenSSH младше версии 8.5 директива //PubkeyAcceptedAlgorithms// имеет другое название (настройка и эффект ничем не отличается).	+	В OpenSSH младше версии 8.5 директива //PubkeyAcceptedAlgorithms// имеет другое название (настройка и эффект ничем не отличаются).
	<code>		<code>
	PubkeyAcceptedKeyTypes -ecdsa-sha2-nistp256		PubkeyAcceptedKeyTypes -ecdsa-sha2-nistp256
Line 59:		Line 59:
	systemctl restart ssh		systemctl restart ssh
	=== Тестируем отключение ===		=== Тестируем отключение ===
-	:!: После отключения, при сканировании NMAP в первую очередь необходимо обращать внимание на результат секции //server_host_key_algorithms//. В //kex_algorithms// nmap, похоже, отображает теоретически возможные алгоритмы для данной версии.	+	Пример тестирования с отключенным алгоритмом Public Key:
-		+
-	В любом случае, можно строго проверить возможность использования алгоритма при помощи конкретного подключения с его помощью. Пример:	+
	<code>		<code>
Line 75:		Line 73:
	</WRAP>		</WRAP>
		+	Можно протестировать подключение с использованием конкретного MAC и посмотреть - не согласовывают ли сервер и клиент отключенный ранее алгоритм.
		+
		+	:!: Здесь подключение всё равно может установиться, несмотря на опцию. Важно убедиться в том, что отключенный в реальности MAC не согласовывается и не используется.
		+	<code>
		+	ssh -o MACs=umac-64-etm@openssh.com root@192.168.0.1 -vv
		+	</code>
		+
		+	Ищем похожие строки в выводе:
		+
		+	<code>
		+	debug1: kex: algorithm: ...
		+	debug1: kex: host key algorithm: ...
		+	debug1: kex: server->client mac: ...
		+	debug1: kex: client->server mac: ...
		+	</code>
		+
		+	Данным сканированием NMAP мы также можем проверить протоколы и шифры:
		+
		+	nmap -p22 -n -sV --unprivileged --script ssh2-enum-algos 192.168.0.1
	{{tag>Putty SSH Ubuntu Linux Certificates}}		{{tag>Putty SSH Ubuntu Linux Certificates}}