SSH-Audit项目在Rocky Linux 9中检测MAC算法的异常行为分析

背景概述

在Rocky Linux 9.5操作系统环境中，使用最新稳定版的OpenSSH服务(8.7p1-43.el9.x86_64)时，安全审计工具SSH-Audit会报告MAC(消息认证码)算法推荐列表存在不一致现象。这种现象表现为：初始扫描与修改配置后的二次扫描会呈现不同的算法移除建议，特别是涉及umac系列算法时表现尤为明显。

问题现象深度解析

初始环境检测结果

在未经过任何配置修改的原始系统中，SSH-Audit工具会检测并建议移除以下MAC算法：

• hmac-sha1
• hmac-sha1-etm@openssh.com
• hmac-sha2-256
• hmac-sha2-512
• umac-128@openssh.com

通过sshd -T命令验证，此时服务端实际启用的MAC算法确实包含这些被标记的弱算法。

配置修改后的异常表现

当管理员按照建议移除上述MAC算法并重启SSH服务后，再次扫描时工具会新增建议移除：

• umac-64-etm@openssh.com
• umac-64@openssh.com

此时通过sshd -T命令可见，服务端算法列表已发生变化，出现了原先未检测到的umac-64系列算法。

技术原理探究

OpenSSH的算法协商机制

这种现象揭示了OpenSSH服务内部的一个特性：当高强度的MAC算法被禁用后，服务会自动降级启用其他可用算法。这与密钥交换(KEX)或加密算法(Cipher)的行为不同，后者通常不会出现这种自动替换现象。

安全审计工具的工作机制

SSH-Audit工具的工作原理是基于实时获取的SSH服务能力列表(通过协议握手过程)，而非静态分析配置文件。因此它能准确反映服务端当前实际提供的算法支持情况，包括服务自身动态调整后的结果。

解决方案建议

1. 完整算法管控：建议在配置修改时一次性禁用所有弱算法，包括可能被动态启用的备选算法。

2. 配置最佳实践：参考安全加固指南，推荐使用以下MAC算法配置：

   MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
   

3. 验证流程：任何配置修改后都应执行以下验证步骤：

   • 使用sshd -T确认实际生效的算法列表
   • 运行SSH-Audit进行二次验证
   • 测试不同客户端的连接兼容性

深度技术建议

对于企业级环境，还应考虑：

• 建立SSH配置的基线管理
• 实现配置变更的自动化测试
• 定期使用SSH-Audit进行合规性检查
• 注意算法选择与FIPS标准的兼容性

该现象本质上反映了安全加固过程中的典型挑战：安全配置需要同时考虑直接风险(弱算法)和间接风险(服务降级行为)。通过系统化的方法可以确保既实现安全目标，又维持服务可用性。