我正在我们的环境中进行一些 ssh 强化。我一直在关注这些指导方针。我不是加密专家,但我大致了解基于 OS X、Linux 和 UNIX 的服务。
我很难理解为什么 HostKeyAlgorithms 和 Ciphers 不能与我的 OS X ssh 一起使用到按照上面提到的准则配置的 sshd 服务器。
我的第一个问题是如何在客户端(OS X)上获得这些支持。我需要自己编译吗?下面提到的版本是最新的自制版本。它看起来足够新了。
下面的示例显示了我的客户端 (OS X) 配置 ~/.ssh/config 的一个片段,注释掉的是上述指南中的确切建议。其中大部分都不起作用。起作用的是那些没有注释的。
我的下一个问题与 ssh 有关:这些 HostKey 算法和密码来自哪里?是否有命令可以运行以查看可用的内容?'ssh -Q [cipher|mac] 不适用于此客户端。
> ssh -V
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
# HostKeyAlgorithms [email protected],[email protected],ssh-ed25519,ssh-rsa
# Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
#
HostKeyAlgorithms ssh-rsa
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
答案1
我很难理解为什么 HostKeyAlgorithms 和 Ciphers 不能与我的 OS X ssh 一起使用到按照上面提到的准则配置的 sshd 服务器。
因为你使用的是旧版本的 OpenSSH。HostKeyAlgorithms如果我没记错的话,它们是在 OpenSSH 7.0p1 中引入的。此外,该[email protected]密码是在 OpenSSH 6.2 之后引入的。
我的下一个问题与 ssh 有关:这些 HostKey 算法和密码来自哪里?是否有命令可以运行以查看可用的内容?
您可以在手册页中看到支持的Ciphers和。它还列出了默认值。MACsssh_config
ssh -Q [cipher|mac]不适用于该客户端。
此功能也是后来引入的,在如此老旧的 OpenSSH 中不起作用。您最好从 brew(或其他地方)更新到最新版本。最新版本是 7.2p1 版本。您可以自行构建它,但有很多陷阱,所以我宁愿依赖一些发行版。