IT评测·应用市场-qidao123.com技术社区

标题: Linux SSH安全之禁用CBC模式(SSH Server CBC Mode Ciphers) [打印本页]

作者: 水军大提督 时间: 2025-3-29 04:28
标题: Linux SSH安全之禁用CBC模式(SSH Server CBC Mode Ciphers)
在Linux系统中，CBC（Cipher Block Chaining）模式的加密算法被认为存在安全隐患（例如大概被攻击者使用来举行Padding Oracle攻击）。因此，发起禁用SSH服务中不安全的CBC模式加密算法，并使用更安全的加密算法：CTR（Counter Mode）或GCM（Galois/Counter Mode）。
一. 查抄当前SSH服务支持的加密算法

列出SSH服务支持的加密算法：
使用以下命令列出服务器端支持的加密算法：
1. ssh -Q cipher
复制代码
或
1. sshd -T | grep ciphers
复制代码
假如输出中包罗 aes128-cbc、3des-cbc 等信息，则说明SSH服务支持CBC模式加密。
查抄当前使用的加密算法：
从客户端测试毗连，查看会话使用的加密算法：
1. ssh -v username@hostname
复制代码
在输出中寻找类似以下内容：
1. debug1: kex: algorithm: diffie-hellman-group-exchange-sha256
2. debug1: cipher: aes128-cbc
复制代码
假如使用了 -cbc 相关算法，则需要举行修复。

二. 修改SSH服务配置文件

编辑SSH服务的配置文件：
1. sudo vi /etc/ssh/sshd_config
复制代码
查找或添加以下配置项，用于指定允许的加密算法：
1. Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-gcm@openssh.com,aes128-gcm@openssh.com
复制代码

Ciphers 指定允许的加密算法。
移除任何 cbc 模式的算法（如 aes128-cbc、3des-cbc）。
使用 ctr 或 gcm 模式的算法。

保存文件并退出。

三. 重新启动SSH服务

修改配置后，重启SSH服务以使更改生效：

sudo systemctl restart sshd

复制代码

或

sudo service sshd restart

复制代码

四. 验证配置更改

重新列出支持的加密算法：
1. ssh -Q cipher
复制代码
确保输出中不再包罗 cbc 模式的算法。
测试客户端毗连：
使用以下命令毗连，确认是否使用安全算法：
1. ssh -v username@hostname
复制代码
确保输出中显示的加密算法为非 cbc 模式，例如：
1. debug1: cipher: aes256-ctr
复制代码

五. 扫描SSH服务的漏洞

使用工具扫描SSH服务以验证是否仍支持CBC模式加密算法：
- nmap：
  1. nmap --script ssh2-enum-algos -p 22 hostname
  复制代码
  查抄输出中是否列出了CBC模式加密算法。
- ssh-audit（需要安装）：
  1. ssh-audit hostname
  复制代码
  该工具可以详细列出SSH服务的加密算法及其安全性。
假如发现仍然支持CBC模式，重新查抄 /etc/ssh/sshd_config 文件中的配置。

六. 其他

升级OpenSSH：
确保使用最新版本的OpenSSH，旧版本大概支持不安全的算法。
1. sudo apt update && sudo apt install openssh-server
复制代码
测试回滚策略：
在修改前，确保已验证SSH配置文件语法，以避免配置错误导致无法毗连：
1. sudo sshd -t
复制代码
限制登录协议版本：
在配置文件中确保只允许SSH协议版本2：
1. Protocol 2
复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 IT评测·应用市场-qidao123.com技术社区 (https://dis.qidao123.com/)