Vamos a deshabilitar, como ya hicimos en posts anteriores, mas cifrados deprecados junto con los SHA1; ya vulnerables.
El proceso consiste en crear un modulo especifico para que a posteriori apliquemos dicha politica.
cat > /usr/share/crypto-policies/policies/modules/DISABLE-CBC.pmod << EOF
cipher@tls = -AES-256-CBC -AES-128-CBC
cipher = -AES-128-CBC -AES-256-CBC -CAMELLIA-256-CBC -CAMELLIA-128-CBC
cipher@ssh = -AES-128-CBC -AES-256-CBC -*-CBC -CHACHA20-*
mac@ssh = -HMAC-SHA1* -UMAC-* -*-SHA1
EOF
Para aplicar la configuración anterior y forzar deshabilitar todos los NO-SHA-1 (parámetro standard), aplicaremos lo siguiente:
update-crypto-policies --set DEFAULT:DISABLE-CBC
Finalmente, reiniciamos el servicio SSH:
service sshd restart