SSH 服务支持弱加密算法【原理扫描】

关于OpenSSH CBC模式信息泄露漏洞（CVE-2008-5161），以下是专业分析及解决方案： 漏洞原理 该漏洞源于OpenSSH在CBC加密模式下对填充错误和数据完整性检查处理不当。攻击者可通过观察服务器对不同错误类型的响应差异，推断出密文中最多32位明文数据（成功概率2^{-18}）或14位明文数据（成功概率2^{-14}） 影响范围 • 使用CBC模式加密的SSH会话 • 涉及算法：aes128-cbc, aes192-cbc, aes256-cbc, 3des-cbc, blowfish-cbc, cast128-cbc 修复方案 1. 修改SSH配置 BASH 复制 # 编辑配置文件 vim /etc/ssh/sshd_config # 移除所有CBC模式算法，添加CTR/GCM模式 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com # 重启服务 systemctl restart sshd （注：需根据实际支持的算法调整配置，可通过ssh -Q cipher查看） 2. 客户端兼容性处理 若出现客户端连接失败（如SecureCRT低版本）： • 升级客户端工具至支持CTR/GCM的版本： • Putty ≥ 0.77 • SecureCRT ≥ 9.2.1 3. 补充安全加固 BASH 复制 # 禁用弱MAC算法 MACs umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com # 强化密钥交换算法 KexAlgorithms curve25519-sha256,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256*14*{data-ai-footnote-index=14} 验证方法 BASH 复制 # 尝试强制使用CBC模式连接 ssh -vv -oCiphers=aes128-cbc,3des-cbc 127.0.0.1 若返回no matching cipher found则修复成功

只要不用cbc的加密算法就行呗

是的

怎么设置只启动高加密算法呀