当前位置:   article > 正文

centos8 sshd_config配置ciphers算法无法生效的问题_sshd ciphers

sshd ciphers

问题来源:
nessus扫描报错 sshd服务的cbc mode enabled。此时参照博客和论坛,修改sshd_config配置文件的ciphers参数,无法生效。
所以最终问题是:centos8(后简称C8)系统上,配置sshd_config里的ciphers,macs都无法生效。

问题分析:

  1. 首先看C7的系统修改该参数,验证后用ssh -vv oCiphers=aes128-cbc <IP地址> 发现是可以生效的。注意,你需要选一个没有配进来的cipher算法来看到系统提示,到底哪些算法被配置了可以使用。

2.那么只有C8有这个问题。最开始想到的是看ssh版本,发现版本一致,只是更新了ssl。ssl是协议层面,基本不会是这个的问题根源。

3.继续查看,查看/var/log/secure里面的日志,发现会去一个目录去读取sshd的配置文件。具体是/etc/crypto-policies/back-ends目录下。openssh.config。里面刚好有ciphers相关的算法,尝试修改该文件,失败。

4.此时继续推断,了解到ssh分为客户端和服务端。尝试修改opensshserver.conf,终于成功。就是这个文件搞的鬼。

5.那么sshd为何不能配置成功呢?个人根据测试结果,推测是C8引入了crypto-policies去专门管理sshd的安全算法规则。具体哪些大家可以查看/etc/crypto-policies/back-ends/opensshserver.config去看。

6.那么调用关系呢?通过systemctl status sshd,查看该服务的service配置文件,发现有专门的引入/etc/crypto-policies/back-ends/opensshserver.config。C7同样有该引入,但去查看组件和路径发现是空,C8该引入因为crypto-polices的安装(管理sshd的安全,优先级最高)而非空,所以生效,造成sshd_config配置的ciphers等参数,优先级低而没有作用。

7.问题解决。如果不想那么麻烦,直接修改opensshserver.config的名字,即可。

总结:时间关系没有贴图,我想大家应该能理解。 cryto-policies是centos8最新引入的,所以相关资料较少。如果帮到大家,大家可以打个赏或者评论哟),给我个反馈让我感觉帮到了大家就行~感谢!

哈哈。感谢阅读

转载请注明出处,谢谢!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/486753
推荐阅读
相关标签
  

闽ICP备14008679号