Как запретить клиенту использовать конкретный алгоритм HMAC при sftp подключении?

Question

Ruslan Korniienko @mersiders

Как запретить клиенту использовать конкретный алгоритм HMAC при sftp подключении?

Нужно на сервере настроить чтобы принимало подключение только с использованием алгоритмов hmac-sha2-256 и hmac-sha2-512.
В /etc/ssh/sshd_config добавил строку MACs hmac-sha2-256,hmac-sha2-512

Теперь хочу смоделировать ситуацию, что клиент не предлагает эти алгоритмы.
Исходя из доки https://man7.org/linux/man-pages/man5/ssh_config.5.html hmac-sha2-256 и hmac-sha2-512 используются по умолчанию и подключение будет осуществленно.

Пробую задать в /etc/ssh/ssh_config использование конкретных алгоритмов: MACs hmac-sha1,hmac-md5
Но клиент все равно предлагает hmac-sha2-256 и hmac-sha2-512.

Пробовал команду чтобы явно указать какие алгоритмы использовать, например:

sftp -o MACs=umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha1 user@host

Но даже в таком случае в логах вижу что клиент предлагает hmac-sha2-256 и hmac-sha2-512.

Вопрос задан 16 янв.
275 просмотров

6 комментариев

Подписаться 2 Простой 6 комментариев

Alexey Dmitriev @SignFinder

sshd после правки то перегружали?
Выглядит все довольно правильно.
nmap --script ssh2-enum-algos 127.0.0.1 -p 22
что показывает?

Написано 16 янв.
asmelnik @asmelnik

sftp -o MACs=umac-64-etm@openssh.com,.....
Пробел убрать не пробовали?
sftp -oMACs=umac-64-etm@openssh.com,.....
Вроде в man именно без пробела пример.

Написано 16 янв.
asmelnik @asmelnik

Ну и там еще можно c + и - поиграться.

Написано 16 янв.
Ruslan Korniienko @mersiders Автор вопроса

Alexey Dmitriev, перезагружал
Вот вывод с сервера и клиента. На сервере видно что используется что указано, на клиенте десь дефолтный набор:

asmelnik, попробовал, результат не изменился
Игрался с - в конфиг файле (исключает из дефолтного набора указанные алгоритмы), и так же не помогало. Вот к примеру указал исключить 3 алгоритма (hmac-md5 не дефолтный), но они все равно используются

Написано 17 янв.
Alexey Dmitriev @SignFinder

Ruslan Korniienko, попробуйте включить внутренний sftp в ssh сервере
типа так в sshd_config
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

Написано 17 янв.
Ruslan Korniienko @mersiders Автор вопроса
Alexey Dmitriev, это не помогло.

Я решил проблему.
Я явно указал дополнительные параметры для шифрования(в конфиг или команду), например:

Ciphers=aes128-ctr,aes192-ctr,aes256-ctr KexAlgorithms=diffie-hellman-group-exchange-sha256

Это позволило клиенту не использовать алгоритмы по умолчанию, и можно увидеть что сервер не получил ожидаемые алгоритмы и указал какие ожидает.
Написано 17 янв.

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

SSH

+3 ещё

Средний
Почему тормозит SSH, когда идёт передача файла по SMB?
- 1 подписчик
- 09 нояб.
- 102 просмотра
1

ответ
SSH

Простой
Можно ли скопировать ssh ключи с Windows на Linux?
- 1 подписчик
- 08 нояб.
- 129 просмотров
1

ответ
Linux

+2 ещё

Средний
Как запустить Electron на Linux удалённо по ssh?
- 1 подписчик
- 05 нояб.
- 182 просмотра
2

ответа
Windows

+1 ещё

Простой
Почему не запускается приложение через ssh соединение?
- 1 подписчик
- 25 окт.
- 128 просмотров
1

ответ
Windows

+3 ещё

Простой
Почему не выходит подключиться по ssh?
- 1 подписчик
- 24 окт.
- 325 просмотров
1

ответ
SSH

Простой
Можно ли скачать архив по ссылке через ssh?
- 1 подписчик
- 23 окт.
- 112 просмотров
3

ответа
Linux

+1 ещё

Простой
Как удобно завернуть весь трафик системы Linux в порт ssh с ключом «-D»?
- 1 подписчик
- 19 окт.
- 309 просмотров
1

ответ
Windows

+2 ещё

Средний
Почему не работают клавиши копирования текста в редакторе micro в ssh-сесии «Windows Terminal»?
- 1 подписчик
- 16 окт.
- 84 просмотра
1

ответ
Linux

+2 ещё

Средний
Как передать большой файл по ssh без промежуточного хранения?
- 4 подписчика
- 10 окт.
- 381 просмотр
5

ответов
Linux

+1 ещё

Простой
Как настроить ssh подключение для рута без пароля?
- 2 подписчика
- 09 окт.
- 197 просмотров
1

ответ
Показать ещё Загружается…

Motion Designer (Моушн-дизайнер)

BELT

от 65 000 ₽

Flutter Developer MIDDLE

BELT

от 70 000 ₽

PHP-разработчик (middle backend php developer)

ООО "М+1" • Новосибирск

от 120 000 ₽

Разработка мобильного приложения с дополненной реальностью (AR)

21 нояб. 2024, в 20:14

200000 руб./за проект

Внедрить код Roistat

21 нояб. 2024, в 19:31

500 руб./за проект

VPN приложение на IOS

21 нояб. 2024, в 19:28

200000 руб./за проект

sshd после правки то перегружали?
Выглядит все довольно правильно.
nmap --script ssh2-enum-algos 127.0.0.1 -p 22
что показывает?
sftp -o MACs=umac-64-etm@openssh.com,.....
Пробел убрать не пробовали?
sftp -oMACs=umac-64-etm@openssh.com,.....
Вроде в man именно без пробела пример.
Ну и там еще можно c + и - поиграться.
Alexey Dmitriev, перезагружал
Вот вывод с сервера и клиента. На сервере видно что используется что указано, на клиенте десь дефолтный набор:

asmelnik, попробовал, результат не изменился
Игрался с - в конфиг файле (исключает из дефолтного набора указанные алгоритмы), и так же не помогало. Вот к примеру указал исключить 3 алгоритма (hmac-md5 не дефолтный), но они все равно используются
Ruslan Korniienko, попробуйте включить внутренний sftp в ssh сервере
типа так в sshd_config
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp
Alexey Dmitriev, это не помогло.

Я решил проблему.
Я явно указал дополнительные параметры для шифрования(в конфиг или команду), например:

Ciphers=aes128-ctr,aes192-ctr,aes256-ctr KexAlgorithms=diffie-hellman-group-exchange-sha256

Это позволило клиенту не использовать алгоритмы по умолчанию, и можно увидеть что сервер не получил ожидаемые алгоритмы и указал какие ожидает.

Как запретить клиенту использовать конкретный алгоритм HMAC при sftp подключении?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт