我使用的是 RHEL 7.5,我想禁用弱加密算法(即基于 CBC 的密码、弱 MAC 等)。
因此,我修改了/etc/ssh/sshd_config
,特别是以 和 开头的行ciphers
,macs
以排除相应的弱密码。
举个例子:我从sshd_config 行中删除了aes128-cbc
, aes192-cbc
,并重新启动了 SSH 服务器。aes256-cbc
Ciphers
ssh -vv localhost
因此,在测试新配置时,从提供 SSH 服务的系统内部进行连接(即不再提供弱密码)之间存在差异(我查看了该peer server KEXINIT proposal
部分)。奇怪的是,当从外部系统连接到目标(即ssh -vv target_ip
)时,会再次提供基于 cbc 的密码。
是否有某种第二个配置文件可以覆盖 sshd_config 或者我缺少什么?
提前致谢。
答案1
问题解决了。根本问题是由于充当透明 SSH 代理的中间防火墙造成的。 SSH 代理接受弱密码,这对客户端是透明的。