지원되는 모든 알고리즘 목록을 얻으려면 ssh -Q kex내 컴퓨터에서 다음을 실행하면 됩니다.
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
[email protected]
[email protected]
또한 특정 알고리즘을 화이트리스트에 추가하려는 경우 sshd_config 및 ssh_config 파일에 한 줄을 추가할 수 있다는 것도 알고 있습니다 .KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
그러나 나는 이 목록을 최신 상태로 유지하는 데 최선을 다할 것이라고 생각하지 않습니다. 내 SSH 버전이 더 나은 암호를 포함하도록 업데이트되면 자동으로 이러한 암호를 활용할 수 있기를 원합니다(구성 파일을 수정하지 않으면 이런 일이 발생합니다). 사용하고 싶지 않은 알고리즘(예: diffie-hellman-group1-sha1)을 제거하려고 시도함으로써 현재 지원되는 최고의 알고리즘보다 더 나은 알고리즘을 사용하지 않도록 스스로를 가두었습니다.
"또한 이러한 다른 알고리즘 외에는 아무것도 고려하지 마십시오"라고 말하지 않고 "이 알고리즘을 고려하지 마십시오"라고 말하도록 ssh 및 sshd를 구성하는 방법이 있습니까?
openssh 및 Linux와 관련된 답변을 수락하며 관련 소프트웨어의 매우 새로운 버전을 사용하고 있다고 가정할 수 있습니다.
답변1
매뉴얼 페이지에서 ssh_config:
KexAlgorithms
사용 가능한 KEX(키 교환) 알고리즘을 지정합니다. 여러 알고리즘은 쉼표로 구분되어야 합니다. 지정된 목록이 '+' 문자로 시작하는 경우 지정된 메서드는 대체하는 대신 기본 세트에 추가됩니다. 지정된 목록이 '-' 문자로 시작하는 경우 지정된 메소드(와일드카드 포함)는 대체하는 대신 기본 세트에서 제거됩니다.
클라이언트의 기본 목록에서 블랙리스트에 추가하려는 모든 암호에 '-' 옵션을 사용하세요.
불행히도 매뉴얼 페이지에는 sshd_config서버 측에서 동일한 옵션이 문서화되어 있지 않은 것 같지만 작동합니다.