OS X ssh: Какие алгоритмы и шифры HostKeyAlgorithms доступны?
Я работаю над усилением защиты ssh в нашей среде. Я следую этим правилам. Я не мастер шифрования, но в целом разбираюсь в службах на базе OS X, Linux и UNIX.
Мне трудно понять, почему HostKeyAlgorithms и Ciphers не работают с моим OS X ssh на моем sshd-сервере, настроенном в соответствии с указаниями, упомянутыми выше.
Мой первый вопрос: как я могу получить их поддержку на стороне клиента (OS X). Надо ли самому компилировать? Версия, указанная ниже, является самой последней версией для домашнего приготовления. Кажется, достаточно недавно.
В приведенном ниже примере показан фрагмент конфигурации моего клиента (OS X) ~ / .ssh / config Закомментированы точные рекомендации из приведенных выше руководств. Большинство из них не сработало. То, что работает, не комментируется.
Мой следующий вопрос более конкретен по ssh: Откуда берутся эти алгоритмы и шифры HostKey? Есть ли команда, которую я могу запустить, чтобы узнать, что доступно? 'ssh -Q [cipher | mac] не работает с этим клиентом.
> ssh -V
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
# HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa
# Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
#
HostKeyAlgorithms ssh-rsa
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Мне трудно понять, почему HostKeyAlgorithms и Шифры не работают с моей ОС X ssh на моем sshd сервере, сконфигурированном по указанным выше рекомендациям.
Потому что вы используете старую версию OpenSSH. HostKeyAlgorithms были введены в OpenSSH 7.0p1, если я хорошо помню. Также шифр chacha20-poly1305@openssh.com был введен позже, чем в OpenSSH 6.2.
Мой следующий вопрос более специфичен для ssh: Откуда берутся эти алгоритмы и шифры HostKey? Есть ли команда, которую я могу запустить, чтобы посмотреть, что доступно?
Вы можете увидеть поддерживаемые Шифры и MACs на странице руководства для ssh_config. В нем также перечислены значения по умолчанию.
ssh -Q [cipher|mac]не работает с этим клиентом.
Эта функция также была введена позже и не работает в таком старом OpenSSH. Лучше бы вы обновились до последней версии из brew (или где-нибудь еще). Последняя версия 7.2p1. Вы можете собрать ее самостоятельно, но есть много подводных камней, так что я лучше буду зависеть от какого-нибудь дистрибутива.
.