一、SSH
SSH的配置文件中加密算法沒有指定,默認(rèn)支持所有加密算法价淌,包括arcfour,arcfour128,arcfour256等弱加密算法镇防。
修改SSH配置文件啦鸣,添加加密算法:
vi /etc/ssh/sshd_config
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
最后面添加以下內(nèi)容(去掉arcfour,arcfour128,arcfour256等弱加密算法):
ssh_config和sshd_config都是ssh服務(wù)器的配置文件,二者區(qū)別在于来氧,前者是針對客戶端的配置文件诫给,后者則是針對服務(wù)端的配置文件香拉。
保存文件后重啟SSH服務(wù):
service sshd restart or? service ssh restart
驗證
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>
ssh -vv -oMACs=hmac-md5 <server>
二、SSL
修改SSL配置文件中的的SSL Cipher參數(shù)
1中狂、禁止apache服務(wù)器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改為如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重啟apache服務(wù)
2凫碌、關(guān)于nginx加密算法
1.0.5及以后版本,默認(rèn)SSL密碼算法是HIGH:!aNULL:!MD5
0.7.65胃榕、0.8.20及以后版本盛险,默認(rèn)SSL密碼算法是HIGH:!ADH:!MD5
0.8.19版本,默認(rèn)SSL密碼算法是? ? ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64勋又、0.8.18及以前版本苦掘,默認(rèn)SSL密碼算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或沒注釋的可以直接修改域名下ssl相關(guān)配置為
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
需要nginx重新加載服務(wù)
