Raspberry Pi - SSH härdning (3 / 5 steg)
Steg 3: Harden ssh_config
Först måste vi öppna filen ssh_config.
sudo nano /etc/ssh/ssh_config
Nu vi ska byta ut allt i filen med härdade version (den härdade versionen inaktiverar svag kryptering algoritmer, hash-värden och autentisering).
# Det här är den ssh klientkonfigurationsfil för hela systemet. Se # ssh_config(5) för mer information. Denna fil innehåller standardinställningar för
# användare och värdena kan ändras i användarspecifika konfigurationsfiler
# eller på kommandoraden.
# Configuration data analyseras enligt följande:
# 1. kommandoradsväljare
# 2. användarspecifik fil
# 3. hela systemet filen
# Någon konfiguration värdet ändras endast första gången det är inställt.
# Därför, värd-specifika definitioner bör i början av den
# konfigurationsfil och standardvärden i slutet.
# Platsspecifika nyckelutbyte algoritmer. Detta är här så att om du är
# har problem med att logga in på en server, kan du ändra och avkommentera den
# linjer under och vara på väg att få arbete.
# Host github.com *. github.com
# KexAlgorithms curve25519-sha256
# Hela webbplatsen standardvärden för några vanliga alternativ. För en omfattande
# lista över tillgängliga alternativ, deras betydelser och standardvärden, se den
# ssh_config(5) man-sidan.
Host *
# ForwardAgent ingen
# ForwardX11 ingen
# ForwardX11Trusted Ja
# RhostsRSAAuthentication ingen
# RSAAuthentication Ja
# HostbasedAuthentication ingen
# GSSAPIAuthentication ingen
# GSSAPIDelegateCredentials ingen
# GSSAPIKeyExchange ingen
# GSSAPITrustDNS ingen
# BatchMode ingen
# CheckHostIP Ja
# AddressFamily någon
# ConnectTimeout 0
# StrictHostKeyChecking be
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
# Protokoll 2,1
# Cipher 3des
# Chiffer aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
# Mac hmac-md5, hmac-sha1, umac-64
# EscapeChar ~
# Tunnel nr
# TunnelDevice någon: någon
# PermitLocalCommand ingen
# VisualHostKey ingen
# ProxyCommand ssh - q -W % h: %p gateway.example.com
# RekeyLimit 1 g 1 h
UseRoaming ingen
SendEnv LANG LC_ *
HashKnownHosts Ja
GSSAPIAuthentication Ja
GSSAPIDelegateCredentials ingen
KexAlgorithms curve25519-sha256
PasswordAuthentication ingen
ChallengeResponseAuthentication ingen
PubkeyAuthentication Ja
HostKeyAlgorithms ssh-ed25519-cert-v01
Chiffer chacha20-poly1305
MACs hmac-sha2-512-etm