SSH Weak Ciphers And Mac Algorithms Supported
背景
对域名进行安全扫描时发现,域名的安全漏洞当中有一项是关于ssh的,名为SSH Weak Ciphers And Mac Algorithms Supported,于是开始着手修复漏洞了
这是个啥?
要解决他,就得知道这是个啥,查阅资料,原来这是在ssh登陆的时候密码的加密算法
登录的原理可以自己查阅资料进行了解,简单来说,无路是用户名密码验证还是密钥验证的方式,都会有一个密码加密的过程,这个过程会采用算法来加密,这个可以配置,但是也有默认的配置
解决他
既然已经知道这是个啥了,那我们就着手来解决这个问题,查阅资料
更改配置之前,检查加密算法
#分别执行这两条命令
ssh -vv -oMACs=hmac-md5 server-ip
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc server-ip这里的意思是指定的加密算法登录ssh,如果能够登录上去,说明是弱MAC是和弱Cliphers
正式开始配置
#编辑ssh配置文件
sudo vi /etc/ssh/sshd\_config
#追加配置
MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfou保存退出编辑
重新启动ssh
sudo service sshd restart这样就完全修改完成了
再次重复上面的操作
#分别执行这两条命令
ssh -vv -oMACs=hmac-md5 server-ip
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc server-ip这时候就会发现,访问被拒绝了
为什么呢?因为我们修改了算法配置,指定算法登录就会被拒绝
注意
此中漏洞好像只出现在openssh比较低的版本里面,因为我用不同的服务器测试的时候,发现有的服务器配置里没有发现有指定配置,算法也不是弱算法
应该是openssh自己修复了这个漏洞