En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment faire pour supprimer les chiffrements SSH sur mon instance Linux Amazon EC2 pour répondre aux exigences de sécurité ?

Lecture de 6 minute(s)
0

Je souhaite supprimer certains algorithmes de chiffrement SSH (Secure Shell) sur mon instance Linux Amazon Elastic Compute Cloud (Amazon EC2) afin de répondre à des exigences de sécurité.

Brève description

Pour maintenir un environnement sécurisé sur vos instances Linux Amazon EC2, supprimez les algorithmes de chiffrement SSH non sécurisés. Configurez ensuite SSH pour n’utiliser que des algorithmes cryptographiques.

Résolution

Prérequis : Déterminez si votre système prend en charge les politiques de chiffrement. Les instances Amazon Linux 2023 utilisent la fonctionnalité de politique de chiffrement pour gérer les paramètres cryptographiques. Pour plus d’informations sur les distributions qui prennent en charge les politiques cryptographiques, consultez (8) update-crypto-policies sur le site Web d’Ubuntu, ou System-wide cryptographic policies sur le site Web de Red Hat Enterprise Linux (RHEL).

Pour vérifier si votre système prend en charge les politiques cryptographiques, utilisez SSH, Amazon EC2 Instance Connect ou Session Manager, une fonctionnalité d’AWS Systems Manager, pour vous connecter à votre instance. Puis, exécutez la commande suivante :

[user@localhost] # update-crypto-policies --show

Si vous voyez un résultat similaire à l’exemple suivant, cela signifie que votre système ne prend pas en charge les politiques de chiffrement :

update-crypto-policies: command not found

Si votre système prend en charge les politiques de chiffrement, l’une des résultats suivants s’affiche :

LEGACY
DEFAULT
FUTURE
FIPS

Supprimer manuellement les chiffrements SSH

Si votre système Linux ne prend pas en charge les politiques de chiffrement, modifiez le fichier sshd_config pour supprimer manuellement les chiffrements SSH.

Pour modifier le fichier sshd_config, procédez comme suit :

  1. Créez un instantané Amazon Machine Image (AMI) ou Amazon Elastic Block Store (Amazon EBS) à partir de l’instance comme sauvegarde.

  2. Utilisez SSH, EC2 Instance Connect ou Session Manager pour vous connecter à l’instance.

  3. Pour passer à l’utilisateur racine, exécutez la commande suivante :

     [user@localhost] # sudo -i
  4. Pour trouver les chiffrements activés sur le système, exécutez la commande suivante :

    [root@localhost] # sshd -T | grep 'ciphers'
  5. Notez la liste dans le résultat, puis supprimez les chiffrements non sécurisés.

  6. Pour accéder au répertoire /etc/ssh/, exécutez la commande suivante :

    [root@localhost] # cd /etc/ssh/
  7. Pour créer une sauvegarde du fichier sshd_config, exécutez la commande suivante :

    [root@localhost] # cp sshd_config sshd_config.bak
  8. Pour ouvrir le fichier sshd_config dans un éditeur de texte, exécutez la commande suivante :

    [root@localhost] # vi sshd_config
  9. Vérifiez que le fichier contient une section de chiffrement similaire à la suivante :

    ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,aes192-cbc,aes256-cbc,blowfish-cbc,cast128-cbc,3des-cbc
  10. Si la section de chiffrement se trouve dans le fichier, modifiez-la pour supprimer les chiffrements non sécurisés. En cas d’absence de section de chiffrement, ajoutez la liste des chiffrements à la fin du fichier.

  11. Enregistrez le fichier et quittez.

  12. Pour appliquer les modifications, exécutez la commande suivante pour redémarrer le processus SSHD :

[root@localhost] # service sshd restart
  1. Pour vérifier que les modifications sont appliquées à la liste de chiffrement mise à jour, exécutez la commande suivante :
[root@localhost] # sshd -T | grep 'ciphers'

Supprimer les algorithmes Kex non sécurisés

Pour supprimer les algorithmes d’échange de clés non sécurisés (Kex), procédez comme suit :

  1. Créez une Amazon Machine Image (AMI) ou un instantané Amazon EBS à partir de l’instance comme sauvegarde.

  2. Utilisez SSH, EC2 Instance Connect ou Session Manager pour vous connecter à l’instance.

  3. Pour trouver les algorithmes Kex actuellement activés, exécutez la commande suivante :

    [root@localhost] # sshd -T | grep 'kex'
  4. Pour trouver les chiffrements activés sur le système, exécutez la commande suivante :

    [root@localhost] # sshd -T | grep 'ciphers'
  5. Notez la liste dans le résultat, puis supprimez les chiffrements non sécurisés.

  6. Pour accéder au répertoire /etc/ssh/, exécutez la commande suivante :

    [root@localhost] # cd /etc/ssh/
  7. Pour créer une sauvegarde du fichier sshd_config, exécutez la commande suivante :

    [root@localhost] # cp sshd_config sshd_config.bak
  8. Supprimez les algorithmes non sécurisés de la ligne qui commence par KexAlgorithms.

  9. Vérifiez que le fichier contient une section de chiffrement similaire à la suivante :

    ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,aes192-cbc,aes256-cbc,blowfish-cbc,cast128-cbc,3des-cbc
  10. Si la section de chiffrement se trouve dans le fichier, modifiez-la pour supprimer les chiffrements non sécurisés. En cas d’absence de section de chiffrement, ajoutez la liste des chiffrements à la fin du fichier.

  11. Enregistrez le fichier et quittez.

  12. Pour vérifier que les modifications sont appliquées, exécutez la commande suivante :

[root@localhost] # sshd -T | grep 'kex'

Utiliser des politiques de chiffrement pour supprimer les chiffrements

Si votre système prend en charge les politiques de chiffrement et que vous utilisez un profil généré précédemment, procédez comme suit :

  1. Pour vérifier les profils cryptographiques disponibles sur votre distribution, exécutez la commande suivante :

    [user@localhost] # ls /usr/share/crypto-policies/policies
  2. Pour modifier le paramètre de politique du système, exécutez la commande suivante :

    [user@localhost] # sudo update-crypto-policies --set POLICY_NAME

    Remarque : remplacez POLICY_NAME par le nom de votre politique, par exemple FUTURE.

  3. Exécutez la commande suivante pour redémarrer le système afin que la nouvelle politique entre en vigueur :

    [user@localhost] # sudo reboot
  4. Exécutez la commande suivante pour vérifier que la nouvelle politique est activée :

    [user@localhost] # sudo update-crypto-policies --show

Si les politiques générées précédemment ne répondent pas à vos exigences de sécurité, créez une politique personnalisée pour les politiques de chiffrement.

Pour créer votre politique personnalisée, procédez comme suit :

  1. Copiez la politique :

    [user@localhost] # sudo cp /usr/share/crypto-policies/policies/DEFAULT.pol /etc/crypto-policies/policies/POLICY_NAME.pol
  2. Modifiez le nouveau fichier de stratégie dans un éditeur de texte et supprimez les algorithmes de chiffrement que vous ne souhaitez pas que le système utilise :

    [user@localhost] # sudo vi /etc/crypto-policies/policies/POLICY_NAME.pol
  3. Enregistrez le fichier et quittez.

  4. Exécutez la commande suivante pour mettre à jour le paramètre de politique du système :

    [user@localhost] # sudo update-crypto-policies --set POLICY_NAME
  5. Exécutez la commande suivante pour redémarrer le système afin que la nouvelle politique entre en vigueur :

    [user@localhost] # sudo reboot
  6. Exécutez la commande suivante pour vérifier que la nouvelle politique est activée :

    [user@localhost] # sudo update-crypto-policies --show

Informations connexes

Configuration du serveur SSH par défaut

Activer le mode FIPS sur AL2023

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 mois