Я обнаружил, что мой сервер через SSH по-прежнему поддерживает diffie-hellman-group1-sha1. Чтобы соответствовать последнему стандарту PCI Compliance, я пытался выяснить, как отключить diffie-hellman-group1-sha1. Weakdh.org не дает четких инструкций о том, как отключить это или что-либо в Интернете. Как правильно отключить этот алгоритм, не отключая порт 22 для SSH в Ubuntu? Ниже приведены алгоритмы, поддерживаемые моим сервером при запуске ssh -Q kex.
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
diffie-hellman-group1-sha1
curve25519-sha256@libssh.org
KexAlgorithms
Specifies the available KEX (Key Exchange) algorithms. Multiple algorithms must be comma-separated. The default is
curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group-exchange-sha1,
diffie-hellman-group14-sha1,
diffie-hellman-group1-sha1
Итак, чтобы отключить "diffie-hellman-group1-sha1", укажите необходимые алгоритмы с параметром KexAlgorithms
KexAlgorithms diffie-hellman-group-exchange-sha256, curve25519-sha256 @ libssh.org,
Бег
ssh -Q kex
дает вам список клиент поддерживаемые алгоритмы. Серверные, которые вы получите sshd -T | grep kex (на сервере конечно).
И если вы хотите удалить один, просто возьмите список, полученный из предыдущей команды, удалите интересующий вас алгоритм и поместите его в /etc/ssh/sshd_config (или замените там существующую строку на алгоритмы kex).