马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
在Linux系统中,CBC(Cipher Block Chaining)模式的加密算法被认为存在安全隐患(例如大概被攻击者使用来举行Padding Oracle攻击)。因此,发起禁用SSH服务中不安全的CBC模式加密算法,并使用更安全的加密算法:CTR(Counter Mode)或GCM(Galois/Counter Mode)。
一. 查抄当前SSH服务支持的加密算法
- 列出SSH服务支持的加密算法:
使用以下命令列出服务器端支持的加密算法:
或
假如输出中包罗 aes128-cbc、3des-cbc 等信息,则说明SSH服务支持CBC模式加密。
- 查抄当前使用的加密算法:
从客户端测试毗连,查看会话使用的加密算法:
在输出中寻找类似以下内容:
- debug1: kex: algorithm: diffie-hellman-group-exchange-sha256
- debug1: cipher: aes128-cbc
二. 修改SSH服务配置文件
- 编辑SSH服务的配置文件:
- sudo vi /etc/ssh/sshd_config
- 查找或添加以下配置项,用于指定允许的加密算法:
- Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-gcm@openssh.com,aes128-gcm@openssh.com
- Ciphers 指定允许的加密算法。
- 移除任何 cbc 模式的算法(如 aes128-cbc、3des-cbc)。
- 使用 ctr 或 gcm 模式的算法。
三. 重新启动SSH服务
修改配置后,重启SSH服务以使更改生效:
- sudo systemctl restart sshd
- sudo service sshd restart
- 重新列出支持的加密算法:
确保输出中不再包罗 cbc 模式的算法。
- 测试客户端毗连:
使用以下命令毗连,确认是否使用安全算法:
确保输出中显示的加密算法为非 cbc 模式,例如:
- debug1: cipher: aes256-ctr
五. 扫描SSH服务的漏洞
- 使用工具扫描SSH服务以验证是否仍支持CBC模式加密算法:
- nmap:
- nmap --script ssh2-enum-algos -p 22 hostname
- ssh-audit(需要安装):
该工具可以详细列出SSH服务的加密算法及其安全性。
- 假如发现仍然支持CBC模式,重新查抄 /etc/ssh/sshd_config 文件中的配置。
六. 其他
- 升级OpenSSH:
确保使用最新版本的OpenSSH,旧版本大概支持不安全的算法。
- sudo apt update && sudo apt install openssh-server
- 测试回滚策略:
在修改前,确保已验证SSH配置文件语法,以避免配置错误导致无法毗连:
- 限制登录协议版本:
在配置文件中确保只允许SSH协议版本2:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
