服务器ssh链接安全漏洞修复

SSH Weak Ciphers And Mac Algorithms Supported

背景

对域名进行安全扫描时发现，域名的安全漏洞当中有一项是关于ssh的，名为SSH Weak Ciphers And Mac Algorithms Supported，于是开始着手修复漏洞了

这是个啥？

要解决他，就得知道这是个啥，查阅资料，原来这是在ssh登陆的时候密码的加密算法

登录的原理可以自己查阅资料进行了解，简单来说，无路是用户名密码验证还是密钥验证的方式，都会有一个密码加密的过程，这个过程会采用算法来加密，这个可以配置，但是也有默认的配置

解决他

既然已经知道这是个啥了，那我们就着手来解决这个问题，查阅资料

更改配置之前，检查加密算法

#分别执行这两条命令

ssh -vv -oMACs=hmac-md5 server-ip 

ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc server-ip

这里的意思是指定的加密算法登录ssh，如果能够登录上去，说明是弱MAC是和弱Cliphers

正式开始配置

#编辑ssh配置文件

sudo vi /etc/ssh/sshd\_config

#追加配置



MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfou

保存退出编辑

重新启动ssh

sudo service sshd restart

这样就完全修改完成了

再次重复上面的操作

#分别执行这两条命令

ssh -vv -oMACs=hmac-md5 server-ip 

ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc server-ip

这时候就会发现，访问被拒绝了

为什么呢？因为我们修改了算法配置，指定算法登录就会被拒绝

注意

此中漏洞好像只出现在openssh比较低的版本里面，因为我用不同的服务器测试的时候，发现有的服务器配置里没有发现有指定配置，算法也不是弱算法

应该是openssh自己修复了这个漏洞