1. OpenSSH server 7.x 이후로 kex에 diff-hellman-xx 지원요청히는 SSH 클라이언트 요청에 무응답(보안상의 이유로)하는 change log 또는 그러한 기능을 하는 SSH 서버 옵션이 있는지요 ? 아시는 글이나 경험 공유 부탁 드립니다.
2. 현재 연결된 SSH 세션의 설정내역(알고리즘 및 적용된 ssh 관련 환경 설정)을 실시간으로 확인 할 수 있는 방법이 있을런지요 ? 명령어….
3. 인증 방법의 순서로 password를 먼저 하고, publickey로 변경은 불간 한지요 ? 저는 순서로 바꾸어 보아도 제대로 적용이 안되서요
1번 해결책은 서버에 해당 알고리즘 지원 추가 or
클라이언트에서 해당 알고리즘 제거 일거 같기는 한데
직접 확인이 어려운 내부 사정이 있어서 문의 드려 봅니다.
- Archlinux, EL(CentOS, Rocky Linux) 의 OpenSSH 기본값은 Ciphers, MACs, Kex 설정 없음입니다. 없으면 릴리즈 출시 당시 지원 가능한 알고리즘을 모두 나열합니다(완전히 취약하다고 알려진 알고리즘은 제거됨)
- 2013년 경부터 MD5 계열과 128bit 길이 미만(96bit) 알고리즘은 취약하다고 제거 권고 되어 있었습니다. 출처: tenable.com/plugins/nessus/71049
2. SSH 데몬이 지원하는 알고리즘 확인은 가능합니다.
nmap -Pn -p22 --script ssh2-enum-algos SSHDaemon_IP
3. ssh 인증 수단 순서 설정은 /etc/pam.d/sshd 파일에서 하시면 됩니다.
클라우드나 PC 가상머신에서 테스트 해보시길 바랍니다.