SSH的配置文件中加密演算法沒有指定,默認支持所有加密演算法,包括arcfour,arcfour128,arcfour256等弱加密演算法。
修改SSH配置文件,添加加密演算法:
vi /etc/ssh/sshd_config
最後面添加以下內容( 去掉arcfour,arcfour128,arcfour256等弱加密演算法 ):
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
保存文件後重啟SSH服務:
service sshd restart or service ssh restart
驗證
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>
ssh -vv -oMACs=hmac-md5 <server>
使用Nmap驗證:
nmap --script "ssh2*" 45.76.186.62
已不支持arcfour,arcfour128,arcfour256等弱加密演算法。
SSH Weak MAC Algorithms Enabled 漏洞修復使用同樣的方式,添加以下行:
MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
修改SSL配置文件塵鬧中的的SSL Cipher參數
如凱信Apache修改以下內派孫罩容: