SHA-1 알고리즘 사용이 필요할 때

보안 취약점으로 이제 SHA-1 알고리즘은 잘 안쓰는 추세고

Redhat 8 버전에서도 기본적으로 적용되어 있지 않다(있으나 미적용)

그리고 Redhat 8 버전에서 다수의 알고리즘이 제외되었다(아예 없다)

RHEL7 # ssh -Q cipher 3des-cbc blowfish-cbc cast128-cbc arcfour arcfour128 arcfour256 aes128-cbc aes192-cbc aes256-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com

RHEL8 # ssh -Q cipher 3des-cbc aes128-cbc aes192-cbc aes256-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com

 

현재 적용된 알고리즘은 다음 명령어로 확인 가능

 

# sshd -T | grep kex

# sshd -T | grep cipher

 

암호화 알고리즘을 추가 하고 싶으면 다음과 같이 수정 해준다.

 

1)

# vi /etc/sysconfig/sshd

CRYPTO_POLICY=   <-- 주석해제

 

2)

# vi /etc/ssh/sshd_config

 

- 명시적으로 표시하려면 아래와 같이 추가

#RekeyLimit default none

Kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1

Ciphers aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc,3des-cbc

 

- 필요한 알고리즘만 추가하려면 + 붙여서 추가

Kexalgorithms +diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1

Ciphers +3des-cbc

 

- sshd restart 해야 적용됨

# systemctl restart sshd

 

- 접속할 때 수동으로 추가해서 하려면

# ssh -vv -o Ciphers=3des-cbc <id>@<server>

# ssh -vv -o KexAlgorithms=diffie-hellman-group-exchange-sha1 <id>@<server> or

# sftp -vv -o Ciphers=3des-cbc <id>@<server>

# sftp -vv -o KexAlgorithms=diffie-hellman-group-exchange-sha1 <id>@<server> or

 

- 잘 추가되었는지 확인하려면

설정한 서버에 ssh -vv 로 접속 테스트하면 Kexalgorithms, Ciphers 부분에 보인다.(접속하지 않아도 보임) # ssh -vv [id]@[hostname or ip]