Security: Fix Weak Key Exchange Algorithm in SSH

15.06.2023 Hosting, Security,

Ein Security-Scan eines Servers meldet folgendes Ergebnis: The remote SSH server is configured to allow / support weak key exchange (KEX) algorithm(s). Wie lässt sich die SSH-Verbindung absichern?

Schritt 1: Default Crypto-Richtlinien deaktivieren

nano /etc/sysconfig/sshd

## change 
#CRYPTO_POLICY= 

## to 
CRYPTO_POLICY=

Mehr zu Crypto-Policies

Schritt 2: Update der MACs, Kex-Algorythmen und Cyphers in /etc/ssh/sshd_config

KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

Schritt 3: SSH-Server neu starten

sshd -t
systemctl restart sshd

Schritt 4: Weak cyphers testen

ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [user@ip-address]

wenn hier die folgende Fehlermeldung erscheint, wurden das Finding behoben:

$ ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc root@192.168.0.10 -p22
:::::::::::::::::::::::::::::::::::::::
...
Unable to negotiate with <ip-address> port 22: no matching cipher found
prev Automatische, KI-basierte Übersetzungsprozesse mit deepL in TYPO3
next Update Debian 11 auf Debian 12 (bookworm)