centos8 sshd_config配置ciphers算法无法生效的问题

问题来源:
nessus扫描报错 sshd服务的cbc mode enabled。此时参照博客和论坛,修改sshd_config配置文件的ciphers参数,无法生效。
所以最终问题是:centos8(后简称C8)系统上,配置sshd_config里的ciphers,macs都无法生效。

问题分析:

  1. 首先看C7的系统修改该参数,验证后用ssh -vv oCiphers=aes128-cbc <IP地址> 发现是可以生效的。注意,你需要选一个没有配进来的cipher算法来看到系统提示,到底哪些算法被配置了可以使用。

2.那么只有C8有这个问题。最开始想到的是看ssh版本,发现版本一致,只是更新了ssl。ssl是协议层面,基本不会是这个的问题根源。

3.继续查看,查看/var/log/secure里面的日志,发现会去一个目录去读取sshd的配置文件。具体是/etc/crypto-policies/back-ends目录下。openssh.config。里面刚好有ciphers相关的算法,尝试修改该文件,失败。

4.此时继续推断,了解到ssh分为客户端和服务端。尝试修改opensshserver.conf,终于成功。就是这个文件搞的鬼。

5.那么sshd为何不能配置成功呢?个人根据测试结果,推测是C8引入了crypto-policies去专门管理sshd的安全算法规则。具体哪些大家可以查看/etc/crypto-policies/back-ends/opensshserver.config去看。

6.那么调用关系呢?通过systemctl status sshd,查看该服务的service配置文件,发现有专门的引入/etc/crypto-policies/back-ends/opensshserver.config。C7同样有该引入,但去查看组件和路径发现是空,C8该引入因为crypto-polices的安装(管理sshd的安全,优先级最高)而非空,所以生效,造成sshd_config配置的ciphers等参数,优先级低而没有作用。

7.问题解决。如果不想那么麻烦,直接修改opensshserver.config的名字,即可。

总结:时间关系没有贴图,我想大家应该能理解。 cryto-policies是centos8最新引入的,所以相关资料较少。如果帮到大家,大家可以打个赏或者评论哟),给我个反馈让我感觉帮到了大家就行~感谢!

哈哈。感谢阅读

转载请注明出处,谢谢!

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值