SSH 弱密钥交换算法已启用

已于 2022-03-24 09:54:18 修改
阅读量1.2w 收藏 15
点赞数 1
文章标签: 安全
于 2022-03-23 17:47:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shinyhuang_/article/details/123691924
版权
本文档警告用户SSH服务器启用了弱密钥交换算法,如diffie-hellman-group-exchange-sha1和diffie-hellman-group1-sha1,这违反了IETF草案的安全推荐。解决方案包括更新SSH配置,禁用这些算法,并重启服务。同时,提供了使用nmap工具进行检测验证的方法。
摘要由CSDN通过智能技术生成

一、SSH 弱密钥交换算法已启用

描述
远程 SSH 服务器被配置为允许被认为是弱的密钥交换算法。

这是基于 IETF 草案文档 Key Exchange (KEX) Method Updates and Recommendations for Secure Shell (SSH) draft-ietf-curdle-ssh-kex-sha2-20。 第 4 节列出了关于不应该和绝不能启用的密钥交换算法的指南。 这包括:

diffie-hellman-group-exchange-sha1

diffie-hellman-group1-sha1

gss-gex-sha1-*

gss-group1-sha1-*

gss-group14-sha1-*

rsa1024-sha1

请注意,此插件仅检查 SSH 服务器的选项,而不检查易受攻击的软件版本。
解决方案
联系供应商或查阅产品文档以禁用弱算法。

SSH 服务器 CBC 模式密码已启用:
描述
SSH服务配置,以支持Cipher Block Chaining(CBC)加密。 这可能允许攻击中恢复的明文信息从密文。

注意,这个插件只会检查选项的SSH服务器和不检查脆弱的软件版本。

二、解决方案:

进入ssh配置文件:

vi /etc/ssh/sshd_config

找到原来的弱加密算法注释,添加如下加密算法:

Ciphers aes128-ctr,aes192-ctr,aes256-ctr

在后面注释原来的MACs添加一行如下命令:

MACs hmac-sha1,umac-64@openss
最低0.47元/天 解锁文章
a11aron
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏扫处理:SSH算法问题解决
weixin_53389944的博客
07-12 1015
如果命令输出错误信息,请检查配置文件中指定的行以解决问题,并确保重新执行该命令直到没有错误出现为止。运行以上命令后,Nmap将扫描目标IP地址上的SSH服务器,并返回可用的加密算法密钥交换算法列表,以及SSH服务器的版本信息。它可以帮助你在重启SSH服务器之前验证配置文件的正确性,以避免出现配置错误导致SSH连接问题的情况。一般情况下要禁用SSH服务器上的某些加密算法,你需要编辑SSH服务器的配置文件,并将不需要的算法从配置中删除或注释掉。配置行,那么禁用加密算法的步骤可能会略有不同。
2. 漏洞复测系列 -- SSH 支持加密算法漏洞(SSH Weak Algorithms Supported)
热门推荐
Peter 的博客
01-16 3万+
本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。 一、漏洞描述 SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等加密算法。 这个漏洞属于SSH的配置缺陷,SSH服务启用了Arcfour (也称RC4)这个不安全算法。 二、...
ssh密钥交换算法漏洞验证
weixin_69925635的博客
07-21 456
ssh密钥交换算法漏洞验证
【修复】SSH 密钥交换算法启用
是你静香不够骚还是我大雄不行了
08-30 2314
SSH 密钥交换算法启用
[跟着需求出方案,跟着方案学运维]批量修复漏洞-ssh密钥交换算法
水布天
11-13 2050
1、背景 安全整改过程中针对服务器共性问题的修复,SSH密钥交换算法漏洞为例,以上篇中的《Centos7修复ssh密钥交换算法漏洞》为场景结合优化处理。ansible环境搭建可以参考《win10系统下ansible环境的搭建》 2、目的 批量修复服务器SSH密钥交换算法漏洞 3、环境说明 名称 型号 备注 window10 教育版64位18363 主操作系统 WSL 1.0 介质 Linux ubuntu18.04LTS 子操作系统 ansible 2.9.10 运维工具
【网络安全ssh禁用秘钥交换算法MAC算法
没枕头我咋睡觉
03-11 1万+
一、通过nmap查看ssh允许算法 nmap --script ssh2-enum-algos -sV -p 22 **.**.**.** 举例: 二、禁用秘钥交换算法mac算法 # 修改/etc/ssh/sshd_config,在文件末尾添加以下内容,设置完毕后重启ssh服务 Ciphers aes128-ctr,aes192-ctr,aes256-ctr MACs hmac-sha1,hmac-ripemd160 举例: 三、验证 执行以下命令进行验证 ...
漏洞扫描<SSH服务器CBC模式密码启用><SSHMAC算法启用><SSH Weak Key Exchange Algorithms Enabled>
kewen_123的博客
08-31 912
【代码】漏洞扫描<SSH服务器CBC模式密码启用><SSHMAC算法启用><SSH Weak Key Exchange Algorithms Enabled>
SSH密钥交换算法解析:从安全性到配置优化
十年运维开发经验的王义杰在此分享自己的知识和经验
09-12 1928
SSH密钥交换算法是保障SSH通信安全的关键一环。虽然通过ssh -Q kex命令可以查询SSH客户端支持的所有密钥交换算法,但并不意味着所有列出的算法都会在默认配置中被启用。通过手动更新SSH客户端或服务器的配置文件,我们可以确保使用最安全密钥交换算法。了解这些背后的机制和设置方法,不仅可以提高我们系统的安全性,还可以在遇到问题时,更快地找到解决方案。希望这篇文章能为你提供有价值的信息和指导。
启用 SSH 密钥交换算法问题如何加固
04-13
对于已启用 SSH 密钥交换算法问题,可以通过禁用密码算法启用更强安全性的算法来加固。具体做法是,修改 SSH 配置文件,禁用密码算法,比如将默认的 Diffie-Hellman 算法改为更安全的 ECDH 算法;同时,使用...
SSH协议加密算法漏洞的利用及复现(中间人攻击)
qq_32006199的博客
04-10 1万+
SSH协议加密算法漏洞的利用及复现(中间人攻击) 很多服务器或者交换机是存在SSH协议加密算法漏洞的,但是该漏洞如何利用呢?最近研究了下此漏洞的相关利用方法,对其整个攻击过程进行了复现。哈哈,本文具体操作步骤适合小白操作,也欢迎大神指正,希望大神对于此漏洞利用提出一些想法或者更好,更便捷的方法,促进交流哈!
零基础怎么学python?(1)
最新发布
2401_84302655的博客
04-30 824
如果对Python感兴趣的话,可以试试我的学习方法以及相关的学习资料Python所有方向的学习路线Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。二、Python必备开发工具。
HMACSHA1算法使用
lishuai1028的专栏
05-16 2020
最近项目中需要调试接口,使用的算法是HmacSHA1,做一下记录,希望对大家有所帮助。 HMACSHA1 是从 SHA1 哈希函数构造的一种键控哈希算法,被用作 HMAC(基于哈希的消息验证代码)。 此 HMAC 进程将密钥与消息数据混合,使用哈希函数对混合结果进行哈希计算,将所得哈希值与该密钥混合,然后再次应用哈希函数。 输出的哈希值长度为 160 位。 在发送方和接收方
SSH服务器CBC加密模式漏洞(CVE-2008-5161)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-25 8634
ssh服务器配置为支持密码块链接(cbc)加密。这可能允许攻击者从密文中恢复明文消息。注意,这个插件只检查ssh服务器的选项,不检查易受攻击的软件版本。CBC(Cipher-blockchaining,密码分组链接模式),它具备依赖性,加密过程是串行的,无法被并行化,但是解密可以并行化,因为一个密文会影响到该明文与后一个明文,不会对其他明文产生影响。消息必须是块大小的整数倍,不够需要填充。但无法直接从密文中看出明文信息块的规律,所以安全性比较好。...
SSH服务器配置为支持密码块链接(CBC)加密不安全,修改加密方式为CTR
weixin_34403693的博客
12-31 6527
在安装完成centos7.4系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,此时需要将CBC的加密方式修改为CTR或者GCM。下面我们就操作一下如何将centos7.4环境下sshd默认的加密方式修改为CTR. 第一步:修改sshd的配置vim /etc/ssh/sshd_config进入编辑模式后删除如下配置# Ciphers an...
修改SSH服务器密码块链接(CBC)加密方式为CTR
fanda-star
11-22 3493
centos7.4系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,此时需要将CBC的加密方式修改为CTR或者GCM。 操作如下: 第一步: 修改sshd的配置 vim /etc/ssh/sshd_config 进入编辑模式后删除如下配置 # Ciphers and keying 第二步: 在文件的末尾添加: Ciphers aes128-ctr,aes192-ctr,aes256-ctr (Ciphers 第一个字母要大写) 第三步: 重启
SSH密钥交换算法解析:从安全性到配置优化_ssh里kex算法什么意思
2401_83739434的博客
04-12 823
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
修复ssh加密算法
live的专栏
02-18 1856
修复ssh加密算法 1)修改ssh配置文件sshd_config,添加加密算法 最后添加以下内容(去掉arcfour,arcfour128,arcfour256,aes128-cbc,3des-cbc加密算法): Ciphers aes128-ctr,aes192-ctr,aes256-ctr MACs hmac-sha1,hmac-ripemd160 本地环境参考示例: $ vi /etc/ssh/sshd_config
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值