前言
操作系统:
centos7.9
漏洞名称:
Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞
影响性分析说明:
Diffie-Hellman 密钥协商协议允许远程攻击者(来自客户端)只需要很少的 CPU 资源和网络带宽就可以发送实际上不是公钥的任意数字,来触发服务器端昂贵的 DHE 模幂计算,这称为 D(HE)ater 攻击。客户端。在客户端可以要求服务器选择其支持的最大密钥大小的情况下,攻击可能更具破坏性。在ssh客户端与sshd服务端进行密钥交换时,如果客户端指定使用DH密钥交换算法,且服务端允许使用DH密钥交换算法时,就会触发服务端进行D(HE)ater 攻击。
修复建议:
OpenSSH修复 https://github.com/Balasys/dheater
解决步骤:
# 修改sshd_config文件配置
KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group1-sha256,diffie-hellman-group14-sha1,diffie-hellman-group14-sha256,diffie-hellman-group15-sha256,diffie-hellman-group15-sha512,diffie-hellman-group16-sha256,diffie-hellman-group16-sha512,diffie-hellman-group17-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha512
MaxStartups 10:30:100
PerSourceMaxStartups 1
PerSourceNetBlockSize 32:128
# 重启sshd