SSH Weak Ciphers And Mac Algorithms Supported
背景
對域名進行安全掃描時發現,域名的安全漏洞當中有一項是關于ssh的,名為SSH Weak Ciphers And Mac Algorithms Supported,于是開始着手修複漏洞了
這是個啥?
要解決他,就得知道這是個啥,查閱資料,原來這是在ssh登陸的時候密碼的加密算法
登入的原理可以自己查閱資料進行了解,簡單來說,無路是使用者名密碼驗證還是密鑰驗證的方式,都會有一個密碼加密的過程,這個過程會采用算法來加密,這個可以配置,但是也有預設的配置
解決他
既然已經知道這是個啥了,那我們就着手來解決這個問題,查閱資料
更改配置之前,檢查加密算法
#分别執行這兩條指令
ssh -vv -oMACs=hmac-md5 server-ip
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc server-ip
複制
這裡的意思是指定的加密算法登入ssh,如果能夠登入上去,說明是弱MAC是和弱Cliphers
正式開始配置
#編輯ssh配置檔案
sudo vi /etc/ssh/sshd\_config
#追加配置
MACs hmac-sha1,[email protected],hmac-ripemd160
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfou
複制
儲存退出編輯
重新啟動ssh
sudo service sshd restart
複制
這樣就完全修改完成了
再次重複上面的操作
#分别執行這兩條指令
ssh -vv -oMACs=hmac-md5 server-ip
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc server-ip
複制
這時候就會發現,通路被拒絕了
為什麼呢?因為我們修改了算法配置,指定算法登入就會被拒絕
注意
此中漏洞好像隻出現在openssh比較低的版本裡面,因為我用不同的伺服器測試的時候,發現有的伺服器配置裡沒有發現有指定配置,算法也不是弱算法
應該是openssh自己修複了這個漏洞