SSH 支持弱加密算法漏洞 【原理扫描】验证及修复
2021/11/15 22:12:12
本文主要是介绍SSH 支持弱加密算法漏洞 【原理扫描】验证及修复,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
使用绿盟漏扫设备rsas经常可以在ssh服务端口扫描到"SSH 支持弱加密算法漏洞 【原理扫描】",可以端口banner处看到探测到的弱加密算法
一般不是误报,如果想验证漏洞,可以使用namp进行验证,漏洞描述与验证具体如下:
一、漏洞描述
SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。
这个漏洞属于SSH的配置缺陷,SSH服务启用了Arcfour (也称RC4)这个不安全算法。
二、漏洞验证
使用 nmap 进行验证
nmap --script ssh2-enum-algos -sV -p 22 xx.xx.xx.xx
结果如下,可以看到22端口使用了arcfour、arcfour128、arcfour256 等弱加密算法,漏洞存在。
三、漏洞修复
方案一:修改 SSH 配置文件,添加加密算法:
vi /etc/ssh/sshd_config
最后添加一下内容(去掉 arcfour、arcfour128、arcfour256 等弱加密算法)
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
保存文件后重启 SSH 服务
service sshd restart
使用nmap再次验证:
nmap --script ssh2-enum-algos -sV -p 22 xx.xx.xx.xx
可以看到已不支持 arcfour,arcfour128,arcfour256等弱加密算法,漏洞修复。
方案二:升级 openssh 版本为最新版本
官网有说明,Openssh 7.0以后的默认版本禁用了一些比较低版本的密钥算法。
我这次遇到的是ubuntu自带的openssh,所以并未采用升级版本的方法。
注:SSH Weak MAC Algorithms Enabled 漏洞修复使用同样的方式,在/etc/ssh/sshd_config文件末尾添加以下行:
MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
这篇关于SSH 支持弱加密算法漏洞 【原理扫描】验证及修复的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-07-02springboot项目无法注册到nacos-icode9专业技术文章分享
- 2024-06-26结对编程到底难不难?答案在这里
- 2024-06-19《2023版Java工程师》课程升级公告
- 2024-06-15matplotlib作图不显示3D图,怎么办?
- 2024-06-1503-Loki 日志监控
- 2024-06-1504-让LLM理解知识 -Prompt
- 2024-06-05做软件测试需要懂代码吗?
- 2024-06-0514-ShardingSphere的分布式主键实现
- 2024-06-03为什么以及如何要进行架构设计权衡?
- 2024-05-31全网首发第二弹!软考2024年5月《软件设计师》真题+解析+答案!(11-20题)