SSH&SSL弱加密算法漏洞修复

一、SSH

SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。

修改SSH配置文件,添加加密算法:

vi /etc/ssh/sshd_config 最后面添加以下内容(去掉arcfour,arcfour128,arcfour256等弱加密算法): Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于,前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

保存文件后重启SSH服务: service sshd restart or service ssh restart

验证 ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server> ssh -vv -oMACs=hmac-md5 <server>

参考信息:http://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/

使用Nmap验证: nmap --script "ssh2*" 45.76.186.62

已不支持arcfour,arcfour128,arcfour256等弱加密算法。


SSH Weak MAC Algorithms Enabled 漏洞修复使用同样的方式,添加以下行: MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160

二、SSL

修改SSL配置文件中的的SSL Cipher参数

不同Web服务软件的配置文件位置及参数名称不同,需根据实际情况查找。 具体安全算法配置可参考此网站:https://cipherli.st/

如Apache修改以下内容:

修改前后支持的加密算法对比: nmap -p 443 --script "ssl-enum-ciphers" xx.xx.xx.xx

作者:Shad0wpf 链接:http://www.jianshu.com/p/24612e17ddc4 來源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

没有更多推荐了,返回首页

私密
私密原因:
请选择设置私密原因
  • 广告
  • 抄袭
  • 版权
  • 政治
  • 色情
  • 无意义
  • 其他
其他原因:
120
出错啦
系统繁忙,请稍后再试