赞
踩
问题来源:
nessus扫描报错 sshd服务的cbc mode enabled。此时参照博客和论坛,修改sshd_config配置文件的ciphers参数,无法生效。
所以最终问题是:centos8(后简称C8)系统上,配置sshd_config里的ciphers,macs都无法生效。
问题分析:
2.那么只有C8有这个问题。最开始想到的是看ssh版本,发现版本一致,只是更新了ssl。ssl是协议层面,基本不会是这个的问题根源。
3.继续查看,查看/var/log/secure里面的日志,发现会去一个目录去读取sshd的配置文件。具体是/etc/crypto-policies/back-ends目录下。openssh.config。里面刚好有ciphers相关的算法,尝试修改该文件,失败。
4.此时继续推断,了解到ssh分为客户端和服务端。尝试修改opensshserver.conf,终于成功。就是这个文件搞的鬼。
5.那么sshd为何不能配置成功呢?个人根据测试结果,推测是C8引入了crypto-policies去专门管理sshd的安全算法规则。具体哪些大家可以查看/etc/crypto-policies/back-ends/opensshserver.config去看。
6.那么调用关系呢?通过systemctl status sshd,查看该服务的service配置文件,发现有专门的引入/etc/crypto-policies/back-ends/opensshserver.config。C7同样有该引入,但去查看组件和路径发现是空,C8该引入因为crypto-polices的安装(管理sshd的安全,优先级最高)而非空,所以生效,造成sshd_config配置的ciphers等参数,优先级低而没有作用。
7.问题解决。如果不想那么麻烦,直接修改opensshserver.config的名字,即可。
总结:时间关系没有贴图,我想大家应该能理解。 cryto-policies是centos8最新引入的,所以相关资料较少。如果帮到大家,大家可以打个赏或者评论哟),给我个反馈让我感觉帮到了大家就行~感谢!
哈哈。感谢阅读
转载请注明出处,谢谢!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。