sshdのCBC modeを無効化する

sshdが脆弱なCBC modeによる暗号化を受け付けているのでけしからん,とネットワーク管理者に指摘されました。ご無理ごもっともですので,/etc/ssh/sshd_configに以下の設定を追加してCBC modeと脆弱なMACアルゴリズム(MD5と-96)を無効化しました。

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128
MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160

たぶん,これでOKなはずです。

やってもやっても脆弱性がでてきます。うーむ。

この記事へのコメント