3.6.1.7 Создание SSH-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
Скачать документ Окружение
- Версия РЕД ОС: 8
- Конфигурация: Сервер графический, Сервер минимальный
Для включения поддержки шифрования ГОСТ в openssl необходимо установить пакеты openssl-gost-engine и crypto-policies.
Для этого перейдите в сеанс пользователя root:
su -
и выполните команду:
dnf install openssl-gost-engine crypto-policies
Более подробная информация о настройке ГОСТ в openssl доступна по ссылке .
Для установки пакетов openssh-gost необходимо выполнить следующие действия:
dnf swap openssh openssh-gost --allowerasing dnf swap openssh-clients openssh-gost-clients --allowerasing dnf swap openssh-server openssh-gost-server --allowerasing
Включить поддержку алгоритмов ГОСТ в openssl можно командой:
openssl-switch-config gost
После этого перезапустите сервис sshd:
systemctl restart sshd
Список поддерживаемых алгоритмов шифрования трафика можно посмотреть с помощью команды:
ssh -Q cipher 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com grasshopper-cbc@altlinux.org grasshopper-ctr@altlinux.org magma-cbc@altlinux.org magma-ctr@altlinux.org
Для просмотра списка поддерживаемых MAC (коды аутентификации сообщений) выполните команду:
ssh -Q mac hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-md5 hmac-md5-96 umac-64@openssh.com umac-128@openssh.com hmac-sha1-etm@openssh.com hmac-sha1-96-etm@openssh.com hmac-sha2-256-etm@openssh.com hmac-sha2-512-etm@openssh.com hmac-md5-etm@openssh.com hmac-md5-96-etm@openssh.com umac-64-etm@openssh.com umac-128-etm@openssh.com grasshopper-mac@altlinux.org hmac-gostr3411-2012-256@altlinux.org hmac-streebog-256@altlinux.org hmac-gostr3411-2012-512@altlinux.org hmac-streebog-512@altlinux.org hmac-gostr3411-2012-256-etm@altlinux.org hmac-streebog-256-etm@altlinux.org hmac-gostr3411-2012-512-etm@altlinux.org hmac-streebog-512-etm@altlinux.org
На клиенте для настройки также необходимо выполнить вышеуказанные действия.
Для подключения к серверу с использованием алгоритмов ГОСТ выполните команду:
ssh <пользователь>@<сервер> -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Пример подключения:
ssh user@192.168.1.92 -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org The authenticity of host '192.168.1.92 (192.168.1.92)' can't be established. ED25519 key fingerprint is SHA256:qUo//tqZCHfpp3QY9qEBqIxXcjT/8va13xGeREclvU8. This key is not known by any other names Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added '192.168.1.92' (ED25519) to the list of known hosts. user@192.168.1.92's password: <пароль_сервера> Last login: Thu Apr 21 09:47:30 2022
Для выхода из сессии выполните команду:
exit выход Connection to 192.168.1.92 closed.
Дата последнего изменения: 24.09.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.