Es gibt ein Online-Tool zur Prüfung der Sicherheit eines ssh Daemons. Das Tool benötigt kein Login, sondern wertet nur die Informationen aus, die beim Handshake des Verbindungsaufbaus sowieso immer sichtbar werden:
🌐 https://sshcheck.com/Nun ist ssh ein schon etwas älteres Protokoll. Einige Algorithmen gelten inzwischen nicht mehr als 100% sicher bzw. gibt es Empfehlungen, diese mit besseren Algorithmen zu ersetzen.
Bei meinem sshd waren alle Ciphers ok, aber einige MACs wurden angemäkelt. Der MAC-Algorithmus wird für den Daten-Integritätsschutz verwandt:
umac-64-etm@openssh.com hmac-sha1-etm@openssh.com umac-64@openssh.com hmac-sha1
Was nun tun? Ich habe die Doku durchgelesen und Folgendes herausgefunden: Man kann in der Konfigurationsdatei sshd_config mit einer Zeile die nicht mehr gewünschten MACs aus der Gesamtheit der MACs entfernen. Die Liste der MACs muss kommagetrennt sein und mit einem MInus beginnen, in meinem Fall also so aussehen:
MACs -umac-64-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,hmac-sha1
Man kann nach der Änderung die unterstützten MACs übrigens auch selber herausfinden, indem man auf dem Server dieses Kommando ausführt:
ssh -Q macs
Das geht übrigens auch für die Ciphers:
ssh -Q ciphers
Nach einem
service sshd restart
... sollten die zu schwachen MACs dann entfernt sein.
⚠️ Achtung! Beim Online-Test-Tool muss man zunächst den Cache löschen, das geht auf der Ergebnisseite. Sonst wundert man sich, dass wieder das selber Ergebnis ohne Änderungen angezeigt wird.
Noch mehr Informationen liefert wie immer das Manual:
man sshd_config