Eu descobri que meu servidor via SSH ainda suporta diffie-hellman-group1-sha1. Para ficar em conformidade com o mais recente PCI Compliance, tenho tentado descobrir como desabilitar o diffie-hellman-group1-sha1. O Weakdh.org não fornece instruções claras sobre como desabilitar isso nem nada na web. Qual é a maneira correta de desabilitar esse algoritmo sem desabilitar a porta 22 para SSH no Ubuntu? Abaixo estão os algoritmos que meu servidor suporta ao executar ssh -Q kex .
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
diffie-hellman-group1-sha1
[email protected]
running
ssh -Q kex
fornece a lista de algoritmos suportados pelo cliente . Os servidores que você obterá de sshd -T | grep kex (no servidor, é claro).
E se você quiser remover um, pegue a lista que você obteve do comando anterior, remova o algoritmo de seu interesse e coloque-o no /etc/ssh/sshd_config (ou substitua a linha existente pelos algoritmos kex).
KexAlgorithms
Specifies the available KEX (Key Exchange) algorithms. Multiple algorithms must be comma-separated. The default is
[email protected],
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group-exchange-sha1,
diffie-hellman-group14-sha1,
diffie-hellman-group1-sha1
Então, para desativar o "diffie-hellman-group1-sha1", especifique os Algoritmos necessários com o parâmetro KexAlgorithms
KexAlgorithms diffie-hellman-group-exchange-sha256, curve25519-sha256 @ libssh.org,
Tags ssh