这Terrapin 对 SSH 的攻击详情一“针对 SSH 协议的前缀截断攻击。更准确地说,Terrapin 破坏了 SSH 安全通道的完整性。通过在握手期间仔细调整序列号,攻击者可以删除客户端或服务器在握手过程开始时发送的任意数量的消息。安全通道,而客户端或服务器不会注意到它。”
您将如何更改 SSH 配置来减轻这种攻击?
答案1
这听起来像是一次可怕的攻击,但解决起来很简单。为了减轻攻击,请参阅我的阻止水龟的攻击有关 SSH 配置详细信息的文章。具体来说,您需要阻止 ETM HMAC 和 ChaCha20 密码,如下所示:
对于最近基于 RHEL 的 Linux 系统(Alma、Rocky Oracle 等),这将起作用:
# cat /etc/crypto-policies/policies/modules/TERRAPIN.pmod
cipher@ssh = -CHACHA20*
ssh_etm = 0
# update-crypto-policies --set DEFAULT:TERRAPIN
Setting system policy to DEFAULT:TERRAPIN
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.
或者,您可以强制使用 AES-GCM,即不脆弱如果您的系统没有(或不使用)update-crypto-policies
(例如,正如 @StephenKitt 所指出的,Debian/Ubuntu 默认情况下可能不使用加密策略):
# cat /etc/ssh/sshd_config
[...]
Ciphers [email protected]
然后测试测试工具由原始研究人员提供。
答案2
还建议使用
数据密码 AES-256-GCM
在 openvpn 服务器配置上,因为它可能看起来无关紧要(因为与 sshd 协议相关的水龟),但有更好的保护