一赘方、SSH
SSH的配置文件中加密算法沒有指定们镜,默認支持所有加密算法九妈,包括arcfour,arcfour128,arcfour256等弱加密算法又憨。
修改SSH配置文件,添加加密算法:
vi /etc/ssh/sshd_config
最后面添加以下內容(去掉arcfour,arcfour128,arcfour256等弱加密算法):
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
ssh_config和sshd_config都是ssh服務器的配置文件巍沙,二者區(qū)別在于,前者是針對客戶端的配置文件,后者則是針對服務端的配置文件。
保存文件后重啟SSH服務:
service sshd restart
or service ssh restart
驗證
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>
ssh -vv -oMACs=hmac-md5 <server>
參考信息:http://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/
使用Nmap驗證:
nmap --script "ssh2*" 45.76.186.62
已不支持arcfour,arcfour128,arcfour256等弱加密算法玫霎。
SSH Weak MAC Algorithms Enabled 漏洞修復使用同樣的方式普舆,添加以下行:
MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
二钞螟、SSL
修改SSL配置文件中的的SSL Cipher參數(shù)
不同Web服務軟件的配置文件位置及參數(shù)名稱不同熔任,需根據實際情況查找趁餐。
具體安全算法配置可參考此網站:https://cipherli.st/
如Apache修改以下內容:
修改前后支持的加密算法對比:
nmap -p 443 --script "ssl-enum-ciphers" xx.xx.xx.xx