OpenSSH: Aktuelle Cipher-Suites für die Konfiguration

Gelegentlich sollten die Cipher-Suites bzw. Verschlüsselungsalgorithmen, die ein OpenSSH-Server anbietet, auf den neuesten Stand gebracht werden. Hier meine aktuelle Konfiguration für einen Server auf Debian GNU/Linux (Stretch) | /etc/ssh/sshd_config:

## Ciphers (Sep 2019)
# Key exchange algorithms 
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256 
# Host-key algorithms 
HostKeyAlgorithms ssh-ed25519,ssh-rsa 
# Encryption algorithms (ciphers) 
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com 
# Message authentication code (MAC) algorithms 
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com

Welche Cipher-Suites euer OpenSSH-Server aktuell anbietet könnt ihr mit nmap prüfen:

nmap -p22 -n -sV --script ssh2-enum-algos IP-Address

ssh-audit eignet sich ebenfalls:

# general
(gen) banner: SSH-2.0-OpenSSH_7.4p1
(gen) software: OpenSSH 7.4p1
(gen) compatibility: OpenSSH 6.5+, Dropbear SSH 2013.62+
(gen) compression: enabled (zlib@openssh.com)

# key exchange algorithms
(kex) curve25519-sha256@libssh.org          -- [info] available since OpenSSH 6.5, Dropbear SSH 2013.62
(kex) diffie-hellman-group-exchange-sha256 (2048-bit) -- [info] available since OpenSSH 4.4

# host-key algorithms
(key) ssh-rsa (4096-bit)                    -- [info] available since OpenSSH 2.5.0, Dropbear SSH 0.28
(key) rsa-sha2-512 (4096-bit)               -- [info] available since OpenSSH 7.2
(key) rsa-sha2-256 (4096-bit)               -- [info] available since OpenSSH 7.2
(key) ssh-ed25519                           -- [info] available since OpenSSH 6.5

# encryption algorithms (ciphers)
(enc) chacha20-poly1305@openssh.com         -- [info] available since OpenSSH 6.5
                                            `- [info] default cipher since OpenSSH 6.9.
(enc) aes256-gcm@openssh.com                -- [info] available since OpenSSH 6.2
(enc) aes128-gcm@openssh.com                -- [info] available since OpenSSH 6.2

# message authentication code algorithms
(mac) hmac-sha2-512-etm@openssh.com         -- [info] available since OpenSSH 6.2
(mac) hmac-sha2-256-etm@openssh.com         -- [info] available since OpenSSH 6.2
(mac) umac-128-etm@openssh.com              -- [info] available since OpenSSH 6.2

# fingerprints
(fin) ssh-ed25519: SHA256:+1OShEIUfyQz3k0WNfrUDSLuZ46X1V331UNcQHOg0yA

---

Ähnliche Beiträge

17. September 2019

Hardening SSH- und LuCI-Webzugang – OpenWrt Teil3

Härtung der OpenWrt-Administrationsschnittstellen: Secure Shell (SSH) und LuCI-Weboberfläche.

28. Februar 2018

Postfix: TLS-Konfiguration mit ECDSA- / RSA-Zertifikaten

Vorstellung einer sauberen, abwärtskompatiblen aber dennoch modernen TLS-Konfiguration für Postfix mit ECDSA- / RSA-Zertifikaten.

12. September 2013

NSA abhörsichere SSL-Verschlüsselung für Apache und nginx

Mit den richtigen SSL-Cipher-Suites für Apache und nginx hat die NSA derzeit keine Chance verschlüsselte Kommunikation zu dekodieren.

10. Juni 2019

GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2

Anleitung zur Generierung eines GPG-Schlüsselpärchens inklusive der anschließenden Übertragung auf die sichere Smartcard des Nitrokeys.

23. Februar 2018

Postfix: ECDSA / RSA-Keys und TLS-Konfiguration

E-Mail-Server kommunizieren heute untereinander meist via TLS auf Basis von RSA-Keys. Nach dem Umzug meines E-Mail-Servers biete ich nun neben…