CR16K配置求助
- 0关注
- 0收藏,85浏览
<Sysname> display ssh2 algorithm
Key exchange algorithms: dh-group-exchange-sha1 dh-group14-sha1 dh-group1-sha1
Public key algorithms: dsa rsa ecdsa
Encryption algorithms: aes128-cbc 3des-cbc des-cbc aes256-cbc
MAC algorithms: sha1 md5 md5-96 sha1-96
display web menu
display web users
displya curr | inc ip http
要求:检查设备的管理协议是否启用了认证和加密措施,且是否禁用了不安全的密码算法(不安全的算法包括MD5、SHA-1、DES、3DES、RSA-1024及以下、ECC-224bit及以下、IKEv1)。 ==== 加固的参考命令可以提供一下吗?谢谢
要求:检查设备的管理协议是否启用了认证和加密措施,且是否禁用了不安全的密码算法(不安全的算法包括MD5、SHA-1、DES、3DES、RSA-1024及以下、ECC-224bit及以下、IKEv1)。
====
加固的参考命令可以提供一下吗?谢谢
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Routers/00-Public/Configure/Security_Hardening/H3C_GD_IPRAN_SH-8871/?CHID=1063328#
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Routers/00-Public/Configure/Security_Hardening/H3C_GD_IPRAN_SH-8871/?CHID=1063328#
一、如何查看当前 SSH 的算法(含是否存在弱算法)
1. 查看 SSHv2 全部算法(重点)
bash
运行
display ssh2 algorithm
输出会分四类:
Key exchange algorithms(密钥交换)
Public key algorithms(公钥 / 签名)
Encryption algorithms(加密)
MAC algorithms(摘要 / 完整性)
2. 查看 SSH 服务器状态(确认只开 SSHv2)
bash
运行
display ssh server status
关注:
SSH version : 2.0(必须是 2.0,不能是 1.99/1.x)
3. 检查项对照(你题目里的不安全算法)
在 display ssh2 algorithm 输出里,不能出现以下内容:
MAC:MD5、SHA-1、sha1-96
Encryption:DES、3DES(3des-cbc)
Public key:RSA-1024 及以下、ECC-224 及以下
IKEv1:这是 VPN,不在 SSH 里,单独检查即可
二、CR16K 是否支持 Web 管理?如何查看 HTTP/HTTPS 启用情况
1. 是否支持 Web
支持,CR16K(V7)自带 HTTP/HTTPS Web 管理界面。
2. 查看 HTTP 状态
bash
运行
display ip http
关键字段:
HTTP status: Enabled/Disabled
HTTP port: 80
3. 查看 HTTPS 状态
bash
运行
display ip https
HTTPS status: Enabled/Disabled
同时会显示绑定的 SSL 策略、端口(默认 443)
4. 查看所有服务概览(可选)
bash
运行
display ip service
能一次性看到 ssh、telnet、http、https 等是否开启。
三、附:一键加固 SSH(禁用弱算法,满足你的检查项)
bash
运行
system-view
# 只允许 SSHv2
ssh server version 2
# 密钥交换:只留安全的
ssh2 algorithm key-exchange ecdh-sha2-nistp256 ecdh-sha2-nistp384
# 公钥算法:禁用 RSA1024、弱 ECC
ssh2 algorithm public-key ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 rsa
# 加密算法:去掉 DES/3DES
ssh2 algorithm cipher aes128-ctr aes192-ctr aes256-ctr aes128-gcm aes256-gcm
# MAC:去掉 MD5、SHA-1
ssh2 algorithm mac sha2-256 sha2-512
配置后再用 display ssh2 algorithm 复核一遍即可。
1. 如何查看当前 SSH 的密码算法?
- 查看当前 SSH 服务生效的配置:
display ssh server configuration
执行该命令后,查看输出结果中关于kex-algorithms(密钥交换算法)和ciphers(加密算法)的具体配置项。 - 查看设备支持的 SSH 算法列表:
display ssh server capability
该命令可以查看设备当前版本支持的所有 SSH 算法能力。
结合你提到的安全检查项,在查看到具体的算法配置后,请重点核对输出结果中是否包含以下不安全的算法。如果存在,建议通过 SSH 服务器配置命令将其移除或禁用:
- 密钥交换算法:
diffie-hellman-group1-sha1、diffie-hellman-group14-sha1等基于 SHA-1 的弱算法。 - 加密算法:
3des-cbc、des-cbc等 DES/3DES 算法。 - 认证/哈希算法:
hmac-md5、hmac-sha1等。
2. 本设备是否支持 Web 管理?如何查看 HTTP/HTTPS 启用情况?
- 查看 Web 服务器全局状态:
display web-manager configuration
执行该命令后,重点关注输出中的HTTPS server status和HTTP server status字段。如果显示为Enabled,则表示对应服务已开启;如果显示为Disabled,则表示未开启。同时可以查看HTTPS server port(默认为 443 或 8443)和HTTP server port(默认为 80)。 - 查看当前运行配置中的 Web 相关命令:
display current-configuration | include http
该命令可以过滤出当前配置中所有与 HTTP/HTTPS 相关的配置语句,例如http secure-server enable(开启 HTTPS)或http server enable(开启 HTTP),方便你快速确认配置情况。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
要求:检查设备的管理协议是否启用了认证和加密措施,且是否禁用了不安全的密码算法(不安全的算法包括MD5、SHA-1、DES、3DES、RSA-1024及以下、ECC-224bit及以下、IKEv1)。 ==== 加固的参考命令可以提供一下吗?谢谢