Centos7加密漏洞修复

已于 2024-02-28 10:42:12 修改
阅读量6.9k 收藏 2
点赞数
分类专栏: linux 文章标签: 安全 服务器 http
于 2022-02-24 16:48:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangbenchu/article/details/123115499
版权

漏洞修复

1、SSL Medium Strength Cipher Suites Supported (SWEET32) && TLS Version 1.0 Protocol Detection

以traefik.toml为例

[entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      minVersion = "VersionTLS12"
      cipherSuites = [
        "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
        "TLS_RSA_WITH_AES_256_GCM_SHA384"
       ]

2、HSTS Missing From HTTPS Server (RFC 6797)

HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP

  • 如果一个 web 服务器支持 HTTP 访问,并将其重定向到 HTTPS 访问的话,那么访问者在重定向前的初始会话是非加密的。举个例子,比如访问者输入 http://www.foo.com/ 或直接输入 foo.com 时。
  • 这就给了中间人攻击的一个机会,重定向可能会被破坏,从而定向到一个恶意站点而不是应该访问的加密页面。
  • HTTP 严格传输安全(HSTS)功能使 Web 服务器告知浏览器绝不使用 HTTP 访问,在浏览器端自动将所有到该站点的 HTTP 访问替换为 HTTPS 访问。

当你通过一个无线路由器的免费 WiFi 访问你的网银时,很不幸的,这个免费 WiFi 也许就是由黑客的笔记本所提供的,他们会劫持你的原始请求,并将其重定向到克隆的网银站点,然后,你的所有的隐私数据都曝光在黑客眼下。
严格传输安全可以解决这个问题。如果你之前使用 HTTPS 访问过你的网银,而且网银的站点支持 HSTS,那么你的浏览器就知道应该只使用 HTTPS,无论你是否输入了 HTTPS。这样就防范了中间人劫持攻击。

  • 注意,如果你之前没有使用 HTTPS 访问过该站点,那么 HSTS 是不奏效的。网站需要通过 HTTPS 协议告诉你的浏览器它支持 HSTS。
  • 服务器开启 HSTS 的方法是,当客户端通过HTTPS发出请求时,在服务器返回的 HTTP 响应头中包含 Strict-Transport-Security 字段。非加密传输时设置的HSTS字段无效。

2.1、以traefik.toml为例需要去除http访问,redirect也不可以,只能使用https

[entryPoints]
  #[entryPoints.http]
  #address = ":80"
  #  [entryPoints.http.redirect]
  #    entryPoint = "https"
      #permanent = true
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      minVersion = "VersionTLS12"
      cipherSuites = [
        "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
        "TLS_RSA_WITH_AES_256_GCM_SHA384"
       ]

2.2、以APACHE httpd为例:
/etc/httpd/conf/httpd.conf
1、支持修改响应头。
在 httpd.conf 文件的 mod_headers 模块中取消注释以下装入模块伪指令。

LoadModule headers_module modules/mod_headers.so

<VirtualHost *:80>
     Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"
</VirtualHost>

3、SSH Weak Key Exchange Algorithms Enabled && SSH Server CBC Mode Ciphers Enabled

3.1、打开ssh配置文件:

vim /etc/ssh/sshd_config

最后添加以下三行加密方式

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
Macs hmac-sha1,hmac-ripemd160
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1

3.2、重启sshd

systemctl restart sshd

3.3、如果报错Directive 'Ciphers' is not allowed within a Match blo

如果配置了如下两行,那就把需要添加的放到这个上面即可

Subsystem sftp internal-sftp
Match Group sftp

3.4、ssh验证(可跳过)

[root@localhost ~]# ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc  目标IP
[root@localhost ~]# ssh -vv -oMACs=hmac-md5  目标IP

3.5、nmap验证(可跳过)

nmap --script ssh2-enum-algos -sV -p 22  目标IP
……
Unable to negotiate with 127.0.0.1 port 22: no matching cipher found. Their offer: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour
……

4、如果禁用CBC算法不生效

# :这个命令创建了一个密码策略模块文件,其中指定了一组密码和MAC算法,并禁用了SSH中的一些特定配置,以防止利用CVE-2023-48795漏洞。
cat <<EOF > /etc/crypto-policies/policies/modules/CVE-2023-48795.pmod
cipher@SSH = -CHACHA20-POLY1305 -*-CBC
mac@ssh = -HMAC-SHA1
ssh_etm = 0
EOF

# :这个命令将新创建的密码策略模块应用到系统中,确保系统遵循所定义的密码策略。
update-crypto-policies --set $(update-crypto-policies --show):CVE-2023-48795

# 这两个命令分别将新的SSH密码配置写入sshd和ssh客户端的配置文件中,以禁用特定的SSH密码算法,以防止利用CVE-2023-48795漏洞
echo 'Ciphers -chacha20-poly1305@openssh.com' > /etc/ssh/sshd_config.d/anti-terrapin-attack.conf
echo 'Ciphers -chacha20-poly1305@openssh.com' > /etc/ssh/ssh_config.d/anti-terrapin-attack.conf

验证cbc密码策略是否已经禁用

ssh -c aes256-cbc root@ip

查看对应的策略

# server
sshd -T | grep kex
# 客户端
ssh -Q kex
乱蹦的小鱼干
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos7系统安全漏洞怎么修复?(超详细修复方案)
jennycisp的博客
05-25 5100
一. 内网升级服务及命令版本方法内网环境,无法使用yum命令 —— 则离线升级安装rpm包Centos的rpm包地址(大多数包可在这找到):CentOS Mirror若是包版本不全,可使用此博客的4.1方法下载安装升级包:Docker系列之二:离线安装docker_sara的博客-CSDN博客_docker离线安装升级软件包命令:rpm会自动卸载相应软件包的旧版本// * 指代rpm包的名字// 此命令是离线升级安装软件包,若有网,则可以直接使用yum命令。
SSL Medium Strength Cipher Suites Supported (SWEET32)
par@ish的博客
05-06 1万+
Description The remote host supports the use of SSL ciphers that offer medium strength encryption. Nessus regards medium strength as any encryption that uses key lengths at least 64 bits and less than 112 bits, or else that uses the 3DES encryption suite.
Centos 9/8/7 离线/在线升级内核(漏洞编号CVE-2024-1086)
最新发布
06-07 3526
Centos 9/8/7 离线/在线升级内核,漏洞,CVE-2024-1086,kernel
【SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
一纸荒芜的博客
06-12 7347
nessus漏扫的漏洞修复
CentOS 配置 sftp 服务
以梦为马|越骑越傻
08-16 3219
CentOS 配置 sftp 服务
directive kexalgorithms is not allowd within a match block
sqlora的专栏
06-09 2123
根据https://sqlora.blog.csdn.net/article/details/89486719添加算法
openssh9.0 centos7版本
05-27
- **安全性增强**:可能修复了一些已知的安全漏洞,并增强了对DoS攻击的防护。 在使用OpenSSH 9.0时,应确保熟悉其更改日志,以便了解任何可能影响现有部署的新功能或行为。同时,定期更新OpenSSH是保持系统安全的...
centos7 openssh7.8p1rpm
11-27
1. **安全增强**:修复了多个安全漏洞,增强了服务的安全性,降低了被攻击的风险。例如,改进了密钥协商过程,防止中间人攻击。 2. **性能优化**:优化了加密算法和协议处理,提高了连接速度和响应时间,提升了用户...
Redhat7.x/CentOS7.x OpenSSH版本升级9.4sp1
09-01
升级后,服务器端的漏洞将得到修复,增强了服务器安全性。 3. **openssh-debuginfo-9.4p1-1.el7.x86_64.rpm**:此包提供了调试信息,当遇到OpenSSH相关问题时,开发人员或系统管理员可以使用这些信息进行故障排查...
CentOS7离线升级openssl1.1.1w,openssh9.6p1,所需资源包
04-08
离线升级CentOS7的openssl和openssh是一项复杂但必要的任务,它涉及到对系统安全性的增强和对最新漏洞的防护。通过手动下载和编译源代码,我们可以确保在没有网络连接的情况下也能完成关键的安全更新。同时,这个...
centos7 openssh-9.1 openssl-1.1.1q rpm离线安装包
10-18
CentOS 7作为一款广泛使用的Linux发行版,其安全服务主要依赖于OpenSSH和OpenSSL。本文将深入探讨如何在CentOS 7上进行OpenSSH 9.1和OpenSSL 1.1.1q的离线安装,并解释这两个组件的重要性及其更新过程。 OpenSSH是...
Centos7/SSH Weak Key Exchange Algorithms Enabled/SSH Server CBC Mode Ciphers Enabled
Jian Sun_的博客
09-09 339
SSH Weak Key Exchange Algorithms EnabledSSH Server CBC Mode Ciphers Enabled https://knowledge.broadcom.com/external/article/263231/disabling-weak-kex-algorithms-hostkey-al.html http://kb.ictbanking.net/article.php?id=690&oid=2 https://access.redhat.com/sol
开启HSTS让浏览器强制跳转HTTPS访问
weixin_34326558的博客
06-05 791
在网站全站HTTPS后,如果用户手动敲入网站的HTTP地址,或者从其它地方点击了网站的HTTP链接,通常依赖于服务端301/302跳转才能使用HTTPS服务。而第一次的HTTP请求就有可能被劫持,导致请求无法到达服务器,从而构成HTTPS降级劫持。这个问题目前可以通过HSTS(HTTP Strict Transport Security,RFC6797)来解决。 HSTS简介 HSTS(HTT...
2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞(SSH Weak Algorithms Supported)
热门推荐
Peter 的博客
01-16 3万+
本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。 一、漏洞描述 SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。 这个漏洞属于SSH的配置缺陷,SSH服务启用了Arcfour (也称RC4)这个不安全算法。 二、...
Linux(CentOS)上配置 SFTP(附解决Write failed: Broken pipe Couldn't read packet: Connection reset by peer)...
weixin_30363817的博客
06-23 1613
#创建sftp组: groupadd sftp #创建一个用户sftpuser: useradd -g sftp -s /bin/false sftpuser #提示: /etc/group 文件包含所有组 /etc/shadow /etc/passwd 系统存在的所有用户名 #设置sftpuser用户的密码,会要求你输入...
Nessus-Linux,SSH Weak Algorithms Supported & Server CBC Mode Ciphers Enabled漏洞解决方案
JackenLe的博客
05-20 3001
【Server CBC Mode Ciphers Enabled】SSH服务默认是支持CBC模式加密算法的。这可能会导致攻击者从密文中恢复出明文信息。 步骤一: vi /etc/ssh/sshd_config 最后一行添加如下内容 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour Macs hmac-sha1,hmac-ripemd160 步骤二: systemctl restart sshd.ser.
修复SSH Weak Algorithms Supported漏洞
平庸
02-04 1386
修复SSH Weak Algorithms Supported漏洞
MySQL允许root帐号远程登录
davidyezhiwei的博客
02-25 4005
我们可以看到有四个root账户,两个空账号,你也会发现只有采用localhost的root设置了密码,其余都无需密码。 那么我们要修改mysql的root密码我们可以使用这个命令 /usr/local/bin/mysqladmin -uroot password 123 意思就是将root帐号以localhost域的密码设置成“123”; 好我们再谈MySQL支持roo
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济损失。 为了防止CentOS挖矿病毒的感染,你可以采取以下措施: 1. 及时更新操作系统和软件补丁,以修复潜在的漏洞。 2. 安装可靠的防病毒软件,并定期进行全盘扫描。 3. 谨慎下载和安装软件,尤其是来自不可信的来源。 4. 避免点击可疑的链接或打开未知的附件。 5. 使用强密码,并定期更改密码。 6. 定期备份重要数据,以防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值