Preciso desabilitar os seguintes MACs no meu servidor OpenSSH:
[email protected], [email protected], hmac-sha2-256, hmac-sha2-512, hmac-sha1
Eu configurei /etc/ssh/sshd_configcom:
Ciphers aes128-ctr,[email protected],aes192-ctr,aes256-ctr,[email protected],[email protected]
KexAlgorithms curve25519-sha256,[email protected],diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
MACs [email protected],[email protected],[email protected]
e reiniciei o sshd, mas os MACs a serem desabilitados ainda estão habilitados:
$ sudo /usr/sbin/sshd -T | grep macs
macs [email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
De acordo com a documentação que encontrei na web, especificar o MACsparâmetro no arquivo de configuração deve habilitar apenas os MACs especificados, então não entendo porque também os não especificados ainda estão ativos.
Informação da versão:OpenSSH_8.4p1 Debian-5+deb11u3, OpenSSL 1.1.1w
A ordem é importante na configuração do seu sshd e o primeiro valor obtido vence. Há alguma diretiva de inclusão antes de sua tentativa de alterar as configurações de criptografia?
No meu sistema Fedora,
/etc/ssh/sshd_configcomeça comInclude /etc/ssh/sshd_config.d/*.confe, em última análise, inclui/etc/crypto-policies/back-ends/opensshserver.configquais conjuntos de cifras aceitas, macs, etc. Qualquer coisa que eu coloque emsshd_configsi seria ignorada se vier depois da linha Incluir.