تعطيل رموز مصادقة الرسائل المستندة إلى التجزئة الضعيفة HMACs في خدمات SSH

  • المدونة
  • تعطيل رموز مصادقة الرسائل المستندة إلى التجزئة الضعيفة HMACs في خدمات SSH

الموسوعة المعرفية

تجربة موثوقية الموقع

عرض الفئات

تعطيل رموز مصادقة الرسائل المستندة إلى التجزئة الضعيفة HMACs في خدمات SSH

2 دقائق للقراءة

جدول المحتويات

ما هي HMACs #

رموز مصادقة الرسائل القائمة على التجزئة (HMACs) هي أنظمة تشفير تستخدم مفتاحًا سريًا ودالة تجزئة للتحقق من سلامة البيانات أو الرسائل وصحتها. توفر رموز مصادقة الرسائل القائمة على التجزئة طريقةً لضمان عدم التلاعب بالبيانات أثناء الإرسال، وأنها واردة من مصدر موثوق. تتضمن هذه الرموز دمج البيانات بمفتاح سري، وتجزئة النتيجة، ثم مقارنتها برمز مصادقة الرسائل القائم على التجزئة (HMAC) المرجعي لدى المستلم، مما يوفر طريقةً آمنةً لتأكيد صحة البيانات في تطبيقات متنوعة، بما في ذلك أنظمة الاتصالات والمصادقة الآمنة.

في خدمات SSH (Secure Shell) مثل SSHd (خادم SSH)، تُستخدم رموز HMAC لتعزيز أمان الاتصال بين العميل والخادم. أثناء عملية تبادل مفاتيح SSH، يتفاوض الخادم والعميل على مجموعة من خوارزميات التشفير، بما في ذلك خوارزمية HMAC، لاستخدامها للتحقق من سلامة البيانات. تُستخدم خوارزمية HMAC المختارة، مع مفتاح سري مشترك، لإنشاء علامات HMAC للحزم الصادرة والتحقق من سلامة الحزم الواردة. يضمن هذا عدم تغيير البيانات المتبادلة بين العميل والخادم أثناء الإرسال، مما يحمي من التلاعب ويضمن صحة الاتصال، وهو جانب أساسي من نموذج أمان SSH.

تعطيل التشفير الضعيف في SSHD #

لتعزيز أمان خدمة SSHd، قد تحتاج إلى تعديل خوارزميات التشفير وMAC والمفتاح الخاصة بـ SSH للتأكد من عدم استخدام MD5 أو 96 بت HMAC (hmac-md5 hmac-md5-96 hmac-sha1-96).يرجى متابعة الخطوات التالية.

التحقق من تكوين SSHd الحالي #

افحص إعدادات SSH الحالية لتحديد التشفيرات، وعناوين MAC، وخوارزميات المفاتيح المسموح بها. استخدم الأمر التالي لجمع هذه المعلومات:

root@noid-ee-01:~# sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"
الأصفار chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
لجنة الهدنة العسكرية umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
خوارزميات الكيكس curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1

تعديل تكوين SSHD #

لتحسين الأمان، فكّر في تعطيل التشفيرات الضعيفة ورموز MAC. استخدم محرر نصوص (مثل نانو or vi) لتحرير ملف تكوين SSHD (الموجود في / الخ / سه / sshd_configاحذف الشفرات وعناوين MAC التي لا تريد السماح بها، ثم احفظ الملف. إذا لم يكن التكوين موجودًا، فأضف أسطرًا جديدة في نهاية الملف.

ciphers aes128-ctr,aes192-ctr,aes256-ctr
macs hmac-sha1,hmac-sha2-256,hmac-sha2-512

أعد تشغيل خدمة SSHD #

بعد إجراء التغييرات، أعد تشغيل خدمة SSHD لتطبيق التكوين الجديد.

root@noid-ee-01:~# systemctl إعادة تشغيل sshd

التحقق من التكوين الجديد #

تحقق من التكوين المحدث باستخدام نفس الأمر كما في السابق.

root@nid-ee-01:~# sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"
ciphers aes128-ctr,aes192-ctr,aes256-ctr
macs hmac-sha1,hmac-sha2-256,hmac-sha2-512
kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1

تساعد هذه الخطوات على تعزيز أمان SSH من خلال تهيئة SSH لاستخدام مجموعات تشفير وعناوين MAC أكثر أمانًا، مع تعطيل الخيارات الأضعف، مما يُعزز الأمان العام لخدمة SSHd. يُرجى العلم أن تغيير هذه الإعدادات قد يؤثر على التوافق مع عملاء SSH الأقدم أو الأقل أمانًا، لذا تأكد من توافق تغييراتك مع متطلبات الأمان الخاصة بك.

📄 قم بتنزيل هذه الوثيقة بصيغة PDF #

    ُ:البريد الالكتروني *

    BetterDocs