SSH&SSL弱加密算法漏洞修复

最新推荐文章于 2024-06-18 15:31:55 发布
最新推荐文章于 2024-06-18 15:31:55 发布
阅读量3.2w 收藏 20
点赞数 1
分类专栏: linux 
 
 

  
  
一、SSH


  
  
SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。


  
  


   
   

   
   


  
  


  
  
修改SSH配置文件,添加加密算法:


  
  
vi /etc/ssh/sshd_config
最后面添加以下内容(去掉arcfour,arcfour128,arcfour256等弱加密算法):
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc


  
  

   
   
ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于,前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

  
  


  
  


   
   

   
   


  
  


  
  
保存文件后重启SSH服务:
service sshd restart   or  service ssh restart


  
  
验证
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>
ssh -vv -oMACs=hmac-md5 <server>


  
  

   
   
参考信息:http://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/

  
  


  
  
使用Nmap验证:
nmap --script "ssh2*" 45.76.186.62


  
  


   
   

   
   


  
  

  
  

已不支持arcfour,arcfour128,arcfour256等弱加密算法。


  
  


  
  
SSH Weak MAC Algorithms Enabled 漏洞修复使用同样的方式,添加以下行:
MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160


  
  
二、SSL


  
  
修改SSL配置文件中的的SSL Cipher参数


  
  

   
   
不同Web服务软件的配置文件位置及参数名称不同,需根据实际情况查找。
具体安全算法配置可参考此网站:https://cipherli.st/

  
  


  
  
如Apache修改以下内容:


  
  


   
   

   
   


  
  

  
  

修改前后支持的加密算法对比:
nmap -p 443 --script "ssl-enum-ciphers"  xx.xx.xx.xx


  
  


   
   
  
  

 
 


作者:Shad0wpf
链接:http://www.jianshu.com/p/24612e17ddc4
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
hua00shao
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
web渗透--34--脆的通信加密算法
武天旭的博客
09-17 5591
1、漏洞名称: 加密算法、脆加密算法、脆的SSL加密算法、openssl的FREAK Attack漏洞 2、漏洞描述: 脆的SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆。黑客可利用SSL加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使...
的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl加密算法漏洞修复(1)
2301_76225520的博客
04-16 1112
若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据0x0.如果您不配置启用值,默认情况下启用。但是,mod_ssl允许重配置针对目录的密码组,并自动进行一个带有服从新配置的SSL参数的重协商。(1)56/128 SCHANNEL\Ciphers\RC4 子项:RC4 64/128,若要允许此密码算法,更改到已启用值的 DWORD 值数据 0xffffffff.否则,更改到的 DWORD 值数据 0x0.如果您不配置启用值,默认情况下启用。
在 Linux 中配置 SSH 连接的加密算法
最新发布
qq_43420088的博客
06-18 755
需要对 OpenSSH 服务器和客户端进行相应配置。
修复SSH服务支持加密算法漏洞
wangshui898的专栏
07-06 2014
老版本ssh服务支持加密算法漏洞
的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl加密算法漏洞修复
2401_84139963的博客
04-09 2349
可以这样建立一个仅使用SSLv2协议及其密码算法的服务器:httpd.conf3、 如何建立一个仅接受强加密请求的SSL服务器:如下设置为仅使用最强的七种密码算法:httpd.conf4、 如何建立一个仅接受强加密请求的SSL服务器,而又允许对外浏览器使用更强的加密:这个功能被称为以服务器为网关的加密(Server Gated Cryptography[SGC]), 在README.GlobalID文档中有详细说明。
数据加密算法
杨建军的博客
11-23 1708
加密算法
Zabbix的加密传输
weixin_34146805的博客
08-23 526
Zabbix数据加密传输Zabbix版本从3.0之后,开始支持Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get之间的通信加密加密方式有预共享密钥(PSK)和证书加密加密配置是可选项,一些proxies和agents可以使用证书认证加密通信,另外一些可以使用PSK加密通信,而剩...
ssh8.8 + ssl1.1.1l rpm安装包
12-04
1.1.1l是OpenSSL的一个稳定版本,通常会修复已知的安全漏洞,增强加密算法,并提高性能。对于任何需要处理敏感信息的服务,如HTTPS服务器,使用OpenSSL 1.1.1l是必要的。 描述中提到这是"自己编译的CentOS 7 SSH8 ...
ssh8.4 and ssl-1.1.1h.rar
11-03
例如,它可能增加了对某些加密算法的改进,比如更强的密码套件,或者对硬件加速的支持,以提高加密和解密的速度。 在安装和使用这些软件时,你需要遵循以下步骤: 1. 解压文件:首先,使用`tar -zxvf openssl-...
ssh+漏洞修复+openssh-8.8p1.tar.gz、openssl-1.1.1s.tar.gz
09-26
2. **加密算法漏洞**:修补了某些加密算法中的点,如RSA、ECDSA或DH。 3. **安全性增强**:改进了内存管理,防止内存泄漏或堆栈溢出。 4. **证书处理改进**:更新了证书验证机制,以避免伪造证书的接受。 5. **API...
ssh8.6p1+ssl1.1.1g.zip
06-07
在OpenSSL 1.1.1g中,开发者可能修复了已知的安全漏洞,增强了加密算法,提高了性能,并引入了对新特性的支持。 OpenSSH与OpenSSL之间的关系紧密,OpenSSH在进行加密通信时会依赖OpenSSL库来实现SSL/TLS连接,以...
ssl加密算法套件检测工具
01-18
该工具适用于安全渗透测试人员,可以用来检测加密算法套件,
OpenSSH升级openssh-9.3p2程序包
01-15
2. `openssl-1.1.1w.tar.gz`: OpenSSL是一个开源的库,提供了SSL/TLS协议和各种加密算法。OpenSSH使用OpenSSL进行加密和身份验证,所以OpenSSH升级通常需要匹配的OpenSSL版本以确保安全性。 3. `openssh-9.3p2.tar....
SSL协议详解
weixin_30883777的博客
12-05 725
 背景介绍   最近在看《密码学与网络安全》相关的书籍,这篇文章主要详细介绍一下著名的网络安全协议SSL。   在开始SSl介绍之前,先给大家介绍几个密码学的概念和相关的知识。   1、密码学的相关概念 密码学(cryptography):目的是通过将信息编码使其不可读,从而达到安全性。 明文(plain text):发送人、接受人和任何访问消息的人都能理解的消息。 密文(c...
服务器支持低版本SSL/TLS协议 支持SSL密码套件
weixin_45596492的博客
03-24 6960
服务器支持低版本SSL/TLS协议 漏洞描述 在测试中发现服务器支持低版本的 TLS1.0和 TLS1.1协议,这些协议存在公开的漏洞建议,应该禁止使用。 漏洞影响 TLS 1.0和 TLS 1.1可能会受到FREAK、POODLE、BEAST和CRIME等漏洞的影响。 关于漏洞的详情可以查看: https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/ 修复建议 可参考如下链接进行配置:
服务器系统及软件常见漏洞
Daoke37的博客
05-24 4118
漏洞名称 允许Traceroute探测 远端WWW服务支持TRACE请求 远端WWW服务提供了对WebDAV的支持 远端WEB服务器上存在/robots.txt文件 远端VNC服务正在运行 远端HTTP服务器类型和版本信息泄漏 远端DNS服务允许递归查询 远程代理服务器允许连接任意端口 远程代理服务器接受POST请求 远程VNC HTTP服务正在运行 利用SMB会话可以获取远程域或工作组列表 利用SMB会话可以获取远程浏览列表 利用SMB会话可以获取远程共享列表 利用SMB会话可以获取目标主机配置信息 利用
sslscan详解:安装、使用、原理、示例
热门推荐
qq_42696904的博客
12-27 2万+
一、安装sslscan 1、git下载sslscan源码       [root@localhost ~]# git clone https://github.com/rbsec/sslscan 2、进入目录       [root@localhost ~]# cd sslscan 3、编译安装       [root@localhost sslscan]# make static ...
SSL证书(HTTPS)的加密算法
qq_41950447的博客
07-10 5417
之前我们介绍SSL工作原理了解到当你在浏览器的地址栏上输入https开头的网址后,浏览器和服务器之间会在接下来的几百毫秒内进行大量的通信。这些复杂的步骤的第一步,就是浏览器与服务器之间协商一个在后续通信中使用的密钥算法。这个过程简单来说是这样的: 浏览器把自身支持的一系列Cipher Suite(密钥算法套件,后文简称Cipher)[C1,C2,C3, …]发给服务器; 服务器接收到浏览器的所有C...
快速扫描服务端口来获取服务器支持的SSL cipher列表
never never的专栏
05-07 9811
出于安全考虑,网络上的数据传输大部分都是加密传输。我们平时接触到比较多的应该算是https了。HTTPS是在HTTP的基础上通过SSL协议对数据进行加密,以保证用户数据在传输过程中不被窃取。SSL协议有sslv2, sslv3, tlsv1, tlsv1.1和tlsv1.2。目前推荐使用的只有tlsv1.2,其它协议都存在各种安全漏洞。在每种SSL协议中,又包括了一系列的加密算法,也即是ciphe...
ssh加密算法漏洞
07-28
SSH加密算法漏洞是指在SSH配置文件中没有指定加密算法,导致SSH服务默认支持所有加密算法,包括不安全的加密算法,如arcfour, arcfour128, arcfour256等\[1\]。这个漏洞可以通过使用Nmap工具进行验证,命令为:nmap --script ssh2-enum-algos -sV -p 22 \[2\]。修复这个漏洞的方法有多种,其中一种是修改SSH配置文件,添加安全的加密算法\[3\]。这样可以提高SSH通信的安全性,避免被攻击者利用加密算法进行攻击。 #### 引用[.reference_title] - *1* *2* [2. 漏洞复测系列 -- SSH 支持加密算法漏洞(SSH Weak Algorithms Supported)](https://blog.csdn.net/qq_40606798/article/details/86512610)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Linux漏洞修复:SSH Weak Encryption Algorithms Supported|SSH加密算法漏洞](https://blog.csdn.net/Meodream/article/details/95348639)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值