如何缓解 Terrapin SSH 攻击？

Question 1

这听起来像是一次可怕的攻击，但解决起来很简单。为了减轻攻击，请参阅我的阻止水龟的攻击有关 SSH 配置详细信息的文章。具体来说，您需要阻止 ETM HMAC 和 ChaCha20 密码，如下所示：

对于最近基于 RHEL 的 Linux 系统（Alma、Rocky Oracle 等），这将起作用：

# cat /etc/crypto-policies/policies/modules/TERRAPIN.pmod
cipher@ssh = -CHACHA20*
ssh_etm = 0

# update-crypto-policies --set DEFAULT:TERRAPIN
Setting system policy to DEFAULT:TERRAPIN
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.

或者，您可以强制使用 AES-GCM，即不脆弱如果您的系统没有（或不使用）update-crypto-policies（例如，正如 @StephenKitt 所指出的，Debian/Ubuntu 默认情况下可能不使用加密策略）：

# cat /etc/ssh/sshd_config
[...]
Ciphers [email protected]

然后测试测试工具由原始研究人员提供。

Answer

这听起来像是一次可怕的攻击，但解决起来很简单。为了减轻攻击，请参阅我的阻止水龟的攻击有关 SSH 配置详细信息的文章。具体来说，您需要阻止 ETM HMAC 和 ChaCha20 密码，如下所示：

对于最近基于 RHEL 的 Linux 系统（Alma、Rocky Oracle 等），这将起作用：

# cat /etc/crypto-policies/policies/modules/TERRAPIN.pmod
cipher@ssh = -CHACHA20*
ssh_etm = 0

# update-crypto-policies --set DEFAULT:TERRAPIN
Setting system policy to DEFAULT:TERRAPIN
Note: System-wide crypto policies are applied on application start-up.
It is recommended to restart the system for the change of policies
to fully take place.

或者，您可以强制使用 AES-GCM，即不脆弱如果您的系统没有（或不使用）update-crypto-policies（例如，正如 @StephenKitt 所指出的，Debian/Ubuntu 默认情况下可能不使用加密策略）：

# cat /etc/ssh/sshd_config
[...]
Ciphers [email protected]

然后测试测试工具由原始研究人员提供。

Question 2

还建议使用

数据密码 AES-256-GCM

在 openvpn 服务器配置上，因为它可能看起来无关紧要（因为与 sshd 协议相关的水龟），但有更好的保护

Answer

还建议使用

数据密码 AES-256-GCM

在 openvpn 服务器配置上，因为它可能看起来无关紧要（因为与 sshd 协议相关的水龟），但有更好的保护

如何缓解 Terrapin SSH 攻击？

答案1

答案2

相关内容