S5590交换机在等保检测中扫出SSH 服务支持弱加密算法
- 0关注
- 0收藏,22浏览
问题描述:
 SSH 服务支持弱加密算法【原理扫描】 |
|
|
详细描述
在配置远程SSH服务器时,出于安全性考虑,应避免使用诸如arcfour、aes128-cbc、blowfish-cbc、3des-cbc等弱加密算法。RFC 4253明确指出,arcfour算法存在诸多安全隐患,不建议使用。该算法在设计上存在漏洞,容易遭受密钥恢复攻击等安全威胁,攻击者可利用这些漏洞获取敏感信息,进而对服务器及相关数据造成严重破坏 。 aes128-cbc也面临着一些挑战,例如在某些场景下可能存在对初始向量(IV)的管理不当风险,使得加密信息有被破解的可能性。blowfish-cbc同样存在一定的安全缺陷,随着计算能力的提升,其加密强度逐渐难以满足日益增长的安全需求。而3des-cbc算法由于其密钥长度相对较短,运算效率较低,并且容易受到中间相遇攻击,已不再适合用于高强度的安全防护场景。
解决办法
解决方案: 提供两种解决方案,一种是特殊场景下的解决方案,.另外一种是常规解决方案。 一 特殊场景下的解决方案 运行以下命令来查看OpenSSH版本:ssh -v 根据OpenSSH版本,查找该版本支持的加密算法列表。可以在OpenSSH的文档中查找对应版本支持的加密算法列表,或者在网上搜索 二 常规解决方案 方案一:升级 openssh 版本为最新版本,推荐该方案。 方案二: 注释SSH服务中的弱算法,并且使用强加密算法。需要注意,由于SSH服务就只会使用强加密算法了。这可能会导致一些旧的SSH客户端无法连接到你的SSH服务,因为它们可能不支持这些强加密算法 1. 打开SSH配置文件,一般位于/etc/ssh/sshd_config。 2. 在该配置文件中,找到以下这些行(如果存在的话)并删除或注释掉它们,如果不存在的话,直接跳到第3步 Ciphers aes128-cbc,aes192-cbc,aes256-cbc,MACs hmac-md5,hmac-sha1,hmac-ripemd160 3. 向配置文件添加或修改以下行以只允许使用强加密算法 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,chacha20-poly1305@openssh.com,aes128-gcm@openssh.com,aes256-gcm@openssh.com 4. 保存并关闭配置文件。 5. 重新启动SSH服务以使改动生效。在大多数系统中,你可以使用service sshd restart 命令来重启SSH服务
威胁分值4.3
危险插件否
发现日期2018-10-26
|
|
这个漏洞需要怎么修复
组网及组网描述:
| IP地址 | 10.104.55.7 | 操作系统 | comware 7.1.070 |
|---|---|---|---|
| 系统版本 | V6.0R04F04SP09 | 插件版本 | V6.0R02F01.4100 |
| 配置核查模板版本 | V6.0R04F01.0000 | 漏洞扫描检查模板 | 全部漏洞扫描 |
| 漏洞风险评估分 | 4.3分 | 主机风险评估分 | 4.3分 |
| 扫描起始时间 | 2026-06-18 11:40:54 | 扫描结束时间 | 2026-06-18 11:45:24 |
| 资产所属组织 | 未分组 | 设备类型 | Switch |
| 厂商 | h3c | ||
ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes128-gcm@openssh | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | aes256-gcm@openssh | des-cbc | sm4-cbc } *
(1) 进入系统视图。
system-view
(2) 配置SSH2协议加密算法优先列表。
(非FIPS模式)
ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes128-gcm@openssh | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | aes256-gcm@openssh | des-cbc | sm4-cbc } *
缺省情况下,SSH2协议采用的缺省加密算法从高到低的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm@openssh、aes256-gcm@openssh、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc、des-cbc、sm4-cbc。
(FIPS模式)
ssh2 algorithm cipher { aes128-gcm | aes128-gcm@openssh | aes256-gcm | aes256-gcm@openssh } *
缺省情况下,SSH2协议采用的缺省加密算法从高到低的优先级列表为aes128-gcm@openssh、aes256-gcm@openssh、aes128-gcm、aes256-gcm。
打开你的电脑,在浏览器输入知了社区,找到这个帖子,要么在别人下面评论,要么点我名字。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论