问
交换机S6860改SSH弱加密算法
9小时前提问
- 0关注
- 1收藏,31浏览
针对 H3C S6860 交换机被扫描出“SSH弱加密算法”的中危漏洞,可以通过在交换机上显式配置并仅启用强加密算法来解决。S6860 属于 H3C 的高端数据中心交换机,通常运行 Comware V7 平台,其配置逻辑如下:
1. 查看当前支持的加密算法
首先,进入交换机的系统视图,查看设备当前支持哪些 SSH 加密算法:
1<H3C> system-view
2[H3C] ssh2 algorithm cipher ?执行后,系统会列出所有可选的算法。通常,带有
cbc(如 aes128-cbc、aes256-cbc)、3des 或 des 字样的都属于弱加密算法。2. 配置强加密算法白名单
为了修复漏洞,我们需要手动指定仅使用强加密算法(如
ctr 和 gcm 模式),从而禁用掉所有弱算法。在系统视图下执行以下命令:1[H3C] ssh2 algorithm cipher aes128-ctr aes128-gcm aes192-ctr aes256-ctr aes256-gcm注:此命令会覆盖默认的算法列表,仅保留后面列出的这几种强加密算法。
3. 重启 SSH 服务使配置生效
修改完加密算法后,需要重启 SSH 服务才能让新配置生效:
1[H3C] undo ssh server enable
2[H3C] ssh server enable完成以上三步后,再次使用漏扫工具进行扫描,该中危漏洞通常即可规避。
进阶加固建议(MAC 算法)
如果漏扫报告中还提到了 MAC(消息认证码)相关的弱算法(如
md5、sha1 等),建议同步进行加固。- 查看支持的 MAC 算法:
1[H3C] ssh2 algorithm mac ?- 仅启用强 MAC 算法(如
sha2-256和sha2-512):
1[H3C] ssh2 algorithm mac sha2-256 sha2-512- 同样执行
undo ssh server enable和ssh server enable重启服务。
zhiliao_Gixe
六段
H3C S6860(Comware系统)修改SSH弱加密算法配置如下:
1. 进入系统视图:system-view
2. 配置SSH强加密算法(禁用DES/3DES等弱算法):
ssh server encryption-algorithm aes-128-ctr aes-256-ctr aes-128-cbc aes-256-cbc
3. 配置SSH强MAC算法:
ssh server hmac-algorithm hmac-sha2-256 hmac-sha2-512
4. 配置SSH强密钥交换算法:
ssh server kex-algorithm ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521
5. 保存配置:save
验证命令:display ssh server algs,确认生效算法为强加密套件。修改后当前SSH连接可能中断,需确认配置无误后保存。
1. 进入系统视图:system-view
2. 配置SSH强加密算法(禁用DES/3DES等弱算法):
ssh server encryption-algorithm aes-128-ctr aes-256-ctr aes-128-cbc aes-256-cbc
3. 配置SSH强MAC算法:
ssh server hmac-algorithm hmac-sha2-256 hmac-sha2-512
4. 配置SSH强密钥交换算法:
ssh server kex-algorithm ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521
5. 保存配置:save
验证命令:display ssh server algs,确认生效算法为强加密套件。修改后当前SSH连接可能中断,需确认配置无误后保存。
暂无评论
S6860 (V7 平台) 修复 SSH 弱加密漏洞配置
一、配置命令(system-view 下)
plaintext
# 禁用SSH1协议
undo ssh server compatible-ssh1x enable
# 仅保留强加密(剔除RC4、CBC弱模式)
ssh server cipher aes128-ctr aes256-ctr aes128-gcm aes256-gcm
# 密钥交换:删除group1/group1-sha1弱算法
ssh server key-exchange ecdh-sha2-nistp256 ecdh-sha2-nistp384 dh-group-exchange-sha256 dh-group14-sha256
# MAC校验:禁用MD5、SHA1,只用SHA2
ssh server hmac sha2-256 sha2-512
# 关闭明文Telnet
undo telnet server enable
# 保存
save
二、核查
plaintext
display ssh server cipher
display ssh server key-exchange
display ssh server hmac
三、精简总结
1、关闭 SSH1、Telnet;
2、加密只留 CTR/GCM 强算法,密钥交换用 ECDH/SHA256,MAC 只用 sha2-256/512;
3、保存后复测漏扫。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论