我目前在 sshd_config 中使用 MAC 和密码。我们已扫描这些设置以查找漏洞。
我想知道这些设置的顺序是否重要?目前,它们是:
MACs hmac-sha2-256,hmac-sha2-512
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
这有什么不同吗:
MACs hmac-sha2-512,hmac-sha2-256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
如果设置的值被移动到不同的顺序,这有关系吗?如果这有关系,你能在你的答案上链接一些文档吗?
答案1
是的,顺序不同,因为两者都MACs将Ciphers设置允许的和优先的顺序。
来自ssh_config手册页:
密码
指定允许的密码及其优先顺序。多个密码必须用逗号分隔。如果指定的列表以“+”字符开头,则指定的密码将附加到默认集合,而不是替换它们。如果指定的列表以“-”字符开头,则指定的密码(包括通配符)将从默认集合中删除,而不是替换它们。如果指定的列表以“^”字符开头,则指定的密码将放在默认集合的开头。
媒体访问控制
按优先顺序指定 MAC(消息认证码)算法。MAC 算法用于数据完整性保护。多个算法必须用逗号分隔。如果指定的列表以“+”字符开头,则指定的算法将附加到默认集合而不是替换它们。如果指定的列表以“-”字符开头,则指定的算法(包括通配符)将从默认集合中删除而不是替换它们。如果指定的列表以“^”字符开头,则指定的算法将放在默认集合的开头。
尽管如此,由于它们被设置为首选订单,它不会阻止客户拥有不同的谈判偏好,也不会有任何Cipher或MAC缺失。