Глава 82. Создание SSH-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015

⁠Глава 82. Создание SSH-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015

82.1. Установка пакетов
82.2. Настройка сервера SSH
82.3. Подключение к серверу SSH

⁠82.1. Установка пакетов

Важно

Пакеты необходимо установить как на сервере, так и на клиенте.

Примечание

Должна быть включена Поддержка шифрования по ГОСТ в OpenSSL.

Примечание

Для установки пакетов gostcrypto, в список репозиториев должен быть добавлен репозиторий gostcrypto.

Установить пакеты openssh-gostcrypto, openssh-clients-gostcrypto, openssh-server-gostcrypto, openssh-server-control-gostcrypto, openssh-common-gostcrypto, openssh-askpass-common-gostcrypto:

# apt-get install openssh-gostcrypto openssh-clients-gostcrypto openssh-server-gostcrypto openssh-server-control-gostcrypto openssh-common-gostcrypto openssh-askpass-common-gostcrypto
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие пакеты будут УДАЛЕНЫ:
  openssh  openssh-askpass-common  openssh-clients  openssh-common  openssh-server  openssh-server-control
Следующие НОВЫЕ пакеты будут установлены:
  openssh-askpass-common-gostcrypto  openssh-common-gostcrypto  openssh-server-control-gostcrypto
  openssh-clients-gostcrypto         openssh-gostcrypto         openssh-server-gostcrypto
ВНИМАНИЕ: Будут удалены важные для работы системы пакеты
Обычно этого делать не следует. Вы должны точно понимать возможные последствия!
  openssh-server  openssh-server-control  (по  причине  openssh-server)
0 будет обновлено, 6 новых установлено, 6 пакетов будет удалено и 3 не будет обновлено.
Необходимо получить 1532kB архивов.
После распаковки потребуется дополнительно 16,4kB дискового пространства.
Вы делаете нечто потенциально опасное!
Введите фразу 'Yes, do as I say!' чтобы продолжить.
 Yes, do as I say!

Примечание

При выполнении этой команды будет выведено предупреждение Введите фразу 'Yes, do as I say!' чтобы продолжить. вместо обычного Y/n. Это происходит, потому что к замене предлагаются критически важные c точки зрения APT пакеты. Если вы согласны с данной заменой, необходимо ввести фразу Yes, do as I say! и нажать Enter.

Список поддерживаемых алгоритмов шифрования трафика:

$ ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
grasshopper-cbc@altlinux.org
grasshopper-ctr@altlinux.org
magma-cbc@altlinux.org
magma-ctr@altlinux.org
chacha20-poly1305@openssh.com

Список поддерживаемых MAC (коды аутентификации сообщений):

$ ssh -Q mac
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
umac-64@openssh.com
umac-128@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com
grasshopper-mac@altlinux.org
hmac-gostr3411-2012-256@altlinux.org
hmac-streebog-256@altlinux.org
hmac-gostr3411-2012-512@altlinux.org
hmac-streebog-512@altlinux.org
hmac-gostr3411-2012-256-etm@altlinux.org
hmac-streebog-256-etm@altlinux.org
hmac-gostr3411-2012-512-etm@altlinux.org
hmac-streebog-512-etm@altlinux.org