linux禁用ssh弱加密算法,ssh弱加密算法漏洞修复

8种机械键盘轴体对比

本人程序员，要买一个写代码的键盘，请问红轴和茶轴怎么选？

ssh弱加密算法漏洞修复

SSH弱加密算法漏洞修复

1.A security scan turned up two SSH vulnerabilities:

1)SSH Server CBC Mode Ciphers Enabled

解释：CBC模式(Cipher Block Chaining模式，密文分组链接模式)，之所以叫这个名字，是因为密文分组像链条一样互相连接在一起。在CBC模式中，首先将明文分组与前一个密文分组进行XOR运算，然后再进行加密。

2)SSH Weak MAC Algorithms Enabled

解释：开启了SSH 弱MAC加密算法，MAC算法(Message Authentication Code，消息认证码)带密钥的Hash函数：消息的散列值由只有通信双方的密钥K来控制。此时hash值称作MAC。

2.SSH的配置文件中加密算法没有指定，默认支持所有加密算法：

Ciphers 默认使用这些 ：

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc

漏洞提示arcfour,arcfour128,arcfour256都是不安全的。

变成这样aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

cbc也是不安全的

变成这样 aes128-ctr,aes192-ctr,aes256-ctr

MACs默认使用:

hmac-md5,hmac-sha1,[email protected],hmac-ripemd160

漏洞提示

hmac-md5,hmac-md5-96,[email protected], [email protected],hmac-sha1-96, [email protected] 都是不安全的

变成这样 hmac-sha1,hmac-ripemd160

3.修改ssh配置文件，添加加密算法

$ vi /etc/ssh/sshd_config

最后面添加以下内容(去掉arcfour,arcfour128,arcfour256，aes128-cbc,3des-cbc等弱加密算法)：

Ciphers aes128-ctr,aes192-ctr,aes256-ctr

MACs hmac-sha1,hmac-ripemd160

4.重启ssh服务

$ service sshd restart

或

$ systemctl restart ssh

5.测试

$ ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc $ ssh -vv -oMACs=hmac-md5 .png)

使用Nmap验证：

$ nmap –script “ssh2*” x.x.x.x

已不支持arcfour,arcfour128,arcfour256等弱加密算法。

参考链接：

https://www.jianshu.com/p/24612e17ddc4

https://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/