Создание SSH-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015

Окружение

• Версия РЕД ОС: 8
• Конфигурация: Сервер графический, Сервер минимальный

Для включения поддержки шифрования ГОСТ в openssl необходимо установить пакеты openssl-gost-engine и crypto-policies.

Для этого перейдите в сеанс пользователя root:

su - 

и выполните команду:

dnf install openssl-gost-engine crypto-policies

Более подробная информация о настройке ГОСТ в openssl доступна по ссылке .

Для установки пакетов openssh-gost необходимо выполнить следующие действия:

dnf swap openssh openssh-gost --allowerasing 
dnf swap openssh-clients openssh-gost-clients --allowerasing
dnf swap openssh-server openssh-gost-server --allowerasing

Включить поддержку алгоритмов ГОСТ в openssl можно командой:

openssl-switch-config gost

После этого перезапустите сервис sshd:

systemctl restart sshd

Список поддерживаемых алгоритмов шифрования трафика можно посмотреть с помощью команды:

ssh -Q cipher 

3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

Для просмотра списка поддерживаемых MAC (коды аутентификации сообщений) выполните команду:

ssh -Q mac 

hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
umac-64@openssh.com
umac-128@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com

На клиенте для настройки также необходимо выполнить вышеуказанные действия.

Для подключения к серверу с использованием алгоритмов ГОСТ выполните команду:

ssh <пользователь>@<сервер> -oCiphers=aes128-gcm@openssh.com -oMACs=hmac-sha1-etm@openssh.com 

Пример подключения:

ssh user@192.168.101.151 --oCiphers=aes128-gcm@openssh.com -oMACs=hmac-sha1-etm@openssh.com 

The authenticity of host '192.168.101.151 (192.168.101.151)' can't be established. 
ED25519 key fingerprint is SHA256:qUo//tqZCHfpp3QY9qEBqIxXcjT/8va13xGeREclvU8. 
This key is not known by any other names 
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes 
Warning: Permanently added '192.168.101.151' (ED25519) to the list of known hosts. 
user@192.168.101.151's password: <пароль_сервера> 
Last login: Mon May  5 08:38:43 2025 

Для выхода из сессии выполните команду:

exit 

выход 
Connection to 192.168.101.151 closed.

Дата последнего изменения: 05.05.2025

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.