【网络安全】ssh禁用弱秘钥交换算法和弱MAC算法

最新推荐文章于 2025-07-07 09:57:44 发布
最新推荐文章于 2025-07-07 09:57:44 发布
阅读量1.1w 收藏 17
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: ssh linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41982304/article/details/123429810
本文介绍了如何使用nmap工具检查SSH服务支持的加密算法,然后在Linux系统中通过编辑sshd_config文件禁用弱秘钥交换算法和弱MAC算法,以增强SSH的安全性。最后,通过ssh命令验证了配置的效果,确保了不支持弱加密算法的登录尝试会失败。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、通过nmap查看ssh允许算法

nmap --script ssh2-enum-algos -sV -p 22 **.**.**.**

举例:

二、禁用弱秘钥交换算法和弱mac算法

# 修改/etc/ssh/sshd_config,在文件末尾添加以下内容,设置完毕后重启ssh服务

Ciphers aes128-ctr,aes192-ctr,aes256-ctr
MACs hmac-sha1,hmac-ripemd160

举例:

三、验证 

   执行以下命令进行验证

ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>

ssh -vv -oMACs=hmac-md5 <server>

配置成功后可以看到通过设置hmac-md5算法登录,提示登录失败

ssh -p 2222 -vv -oMACs=hmac-md5 **.**.**.**

 

SSH 弱密钥交换算法 通过禁用CBC模式解决SSH服务器CBC加密模式漏洞(CVE-2008-5161)
冰恋云的专栏
09-14 2061
修复方法Linux平台修改sshd_config配置文件,删除不安全的加密算法重启服务3.查看修改后的配置文件。
漏扫处理:SSH算法问题解决
weixin_53389944的博客
07-12 2990
如果命令输出错误信息,请检查配置文件中指定的行以解决问题,并确保重新执行该命令直到没有错误出现为止。运行以上命令后,Nmap将扫描目标IP地址上的SSH服务器,并返回可用的加密算法密钥交换算法列表,以及SSH服务器的版本信息。它可以帮助你在重启SSH服务器之前验证配置文件的正确性,以避免出现配置错误导致SSH连接问题的情况。一般情况下要禁用SSH服务器上的某些加密算法,你需要编辑SSH服务器的配置文件,并将不需要的算法从配置中删除或注释掉。配置行,那么禁用加密算法的步骤可能会略有不同。
ssh 加密算法相关信息含义解析与加密算法禁用方法
龙瑜的博客
08-23 1万+
Ciphers 指定 SSH-2 允许使用的加密算法。多个算法之间使用逗号分隔。可以使用的算法如下: “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “3des-cbc”, “arcfour128”, “arcfour256”, “arcfour”, “blowfish-cbc”, “cast128-cbc” 默认值是可以使用上述所有算法MACs 指定允许在 SSH-2 中使用哪些消息
【生产实践】SSH服务加密算法修复指南(附完整操作流程)
最新发布
SunMy的博客
07-07 1081
SSH服务加密算法漏洞修复方案 检测发现SSH服务存在支持加密算法漏洞,主要风险包括: 使用arcfour、aes128-cbc等易被破解的算法 面临密钥恢复、重放攻击等安全威胁 提供两种修复方案: 推荐方案:升级OpenSSH至最新版本 替代方案:修改SSH配置禁用算法(需注意可能影响旧客户端连接) 修复步骤: 编辑/etc/ssh/sshd_config 注释或删除算法配置 添加强加密算法(如aes128-ctr等) 重启SSH服务 注意事项: 建议先在测试环境验证 可能需配合客户端升级 操作前
屏蔽SSH服务的密码算法
灼烧的疯狂
02-24 5906
前言 等保测试: 1、目标主机SSH服务存在RC4、CBC或None加密算法 2、如果配置为CBC模式的话,SSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误 解决办法:仅保留CTR加密算法 参考文章 1、编辑 ssh 配置文件 vim /etc/ssh/sshd_config 2、把加密方式都排除掉,我这边保留的如下内容 Ciphers aes128-ctr,aes192-ctr,aes256-ctr MACs hmac-sha1,hmac-ripemd160 参考内容: # defa
linux禁用ssh加密算法,SSH&SSL加密算法漏洞修复
weixin_28923455的博客
05-12 4488
一、SSHSSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等加密算法。修改SSH配置文件,添加加密算法:vi /etc/ssh/sshd_config最后面添加以下内容(去掉arcfour,arcfour128,arcfour256等加密算法):Ciphers aes128-ctr,aes192-ctr,aes256-ct...
【修复】SSH 弱密钥交换算法已启用
是你静香不够骚还是我大雄不行了
08-30 4361
SSH 弱密钥交换算法已启用
SSH 弱密钥交换算法已启用
热门推荐
Shinyhuang_的博客
03-23 1万+
一、SSH 弱密钥交换算法已启用 描述 远程 SSH 服务器被配置为允许被认为是的密钥交换算法。 这是基于 IETF 草案文档 Key Exchange (KEX) Method Updates and Recommendations for Secure Shell (SSH) draft-ietf-curdle-ssh-kex-sha2-20。 第 4 节列出了关于不应该绝不能启用的密钥交换算法的指南。 这包括: diffie-hellman-group-exchange-sha1 diff
如何禁用SSH弱密钥交换算法
04-13
可以通过修改SSH配置文件来禁用SSH弱密钥交换算法。具体操作如下: 1. 使用root账户登录到服务器。 2. 打开SSH配置文件(/etc/ssh/sshd_config)并找到以下配置行: KexAlgorithms diffie-hellman-group1-sha1, ...
openssh 安全访问 ssh安全加固与ssh公私秘钥远程连接
tonyhi6的博客
04-30 317
openssh 安全访问 ssh安全加固与ssh公私秘钥远程连接,限制用户访问
SSH 服务支持加密算法
大宇进阶之路的博客
02-20 9666
最后添加一下内容(去掉 arcfour、arcfour128、arcfour256 等加密算法)官网有说明,OpenSSH 7.0 以后的版本默认禁用了一些较低版本的密钥算法。保存文件后重启 SSH 服务:service sshd restart。查看支持的cipher列表,然后将列表中的内容排除掉漏洞中的加密列表。方案二:升级 openssh 版本为最新版本。查看到 有不支持的加密算法
ssh弱密钥交换算法漏洞验证
weixin_69925635的博客
07-21 642
ssh弱密钥交换算法漏洞验证
linux禁用ssh加密算法,2. 漏洞复测系列 -- SSH 支持加密算法漏洞(SSH Weak Algorithms Supported)...
weixin_39861823的博客
05-12 1587
2. 漏洞复测系列 -- SSH 支持加密算法漏洞(SSH Weak Algorithms Supported)发布时间:2019-01-16 18:28,浏览次数:3318, 标签:SSHWeakAlgorithmsSupported本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。<>一...
SSH配置中禁用任何MD5或96位HMAC算法
生活太难
05-10 2105
启动systemctl start sshd。关闭systemctl stop sshd。在结尾出添加下面两行代码即可。
linux禁用ssh加密算法,SSH协议加密算法漏洞的利用及复现(中间人攻击)
weixin_42282116的博客
05-12 1476
SSH协议加密算法漏洞的利用及复现(中间人攻击)很多服务器或者交换机是存在SSH协议加密算法漏洞的,但是该漏洞如何利用呢?最近研究了下此漏洞的相关利用方法,对其整个攻击过程进行了复现。哈哈,本文具体操作步骤适合小白操作,也欢迎大神指正,希望大神对于此漏洞利用提出一些想法或者更好,更便捷的方法,促进交流哈!???本文主要从SSH1.0SSH2.0两个版本进行攻击复现,具体操作如下:一、SSH2...
SSH算法支持问题
weixin_30426879的博客
03-16 605
SSH算法支持问题:SSH的配置文件中加密算法没有指定(没有配置加密算法),则会默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等加密算法。解决方法:1.修改ssh配置文件,添加加密算法:vi /etc/ssh/sshd_config最后面添加以下内容(去掉arcfour,arcfour128,arcfour256等加密算法):Ciphers aes12...
SSH密钥交换算法解析:从安全性到配置优化
十年运维开发经验的王义杰在此分享自己的知识和经验
09-12 3091
SSH密钥交换算法是保障SSH通信安全的关键一环。虽然通过ssh -Q kex命令可以查询SSH客户端支持的所有密钥交换算法,但并不意味着所有列出的算法都会在默认配置中被启用。通过手动更新SSH客户端或服务器的配置文件,我们可以确保使用最安全的密钥交换算法。了解这些背后的机制设置方法,不仅可以提高我们系统的安全性,还可以在遇到问题时,更快地找到解决方案。希望这篇文章能为你提供有价值的信息指导。
Diffie-Hellman密钥交换算法及其优化
weixin_33817333的博客
05-06 361
首次发表的公开密钥算法出现在DiffieHellman的论文中,这篇影响深远的论文奠定了公开密钥密码编码学。由于该算法本身限于密钥交换的用途,被许多商用产品用作密钥交换技术,因此该算法通常称之为Diffie-Hellman密钥交换。这种密钥交换技术的目的在于使得两个用户安全地交换一个秘密密钥以便用于以后的报文加密。 Diffie-Hellman密钥交换算法的有效性依赖于计...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值