我正在尝试禁用我的 ec2 实例中的任何弱密码/算法。我在/etc/ssh/sshd_config
...
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
MACs hmac-sha1,[email protected],hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,[email protected]
...
当我尝试重新启动sshd
服务时,它无法正常重新启动。所以我这样做了;
sshd -t
我收到以下错误:
错误的 SSH2 mac 规范‘hmac-sha1,[电子邮件保护],hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,[电子邮件保护]‘
有谁能帮助我解决这个问题吗?
sshd 版本是OpenSSH_8.0p1, OpenSSL 1.1.1k FIPS 25 Mar 2021
答案1
支持 RIPE-MD160 HMAC 算法2017 年从 OpenSSH 中删除在里面7.6 版本因此您可能需要检查出版日期和来源的旧程度,以支持您想要包含的算法的决定。
根据手册man sshd_config
可以使用 获取可用的 MAC 算法列表ssh -Q mac
。
从中做出选择。
现已不复存在的 cypherli.st 推荐以下强大的 MAC 算法:
MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
和其他设置:
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
但您可能也想确认这些。