Linux SSH弱密钥交换算法(Weak Key Exchange Algorithms)检查及修复

最新推荐文章于 2025-05-27 15:08:31 发布
最新推荐文章于 2025-05-27 15:08:31 发布
阅读量1.2k 收藏 6
点赞数 9
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: linux ssh 运维 服务器 tls 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/promise524/article/details/144226351

在Linux环境中,Weak Key Exchange Algorithms(弱密钥交换算法) 是指存在安全漏洞的算法,这些算法可能被攻击者利用进行中间人攻击或其他形式的密码学攻击。常见的弱算法包括:diffie-hellman-group1-sha1diffie-hellman-group14-sha1

一. 检查当前使用的密钥交换算法

1. 检查SSH服务配置

弱密钥交换算法通常与SSH服务相关,如支持的密钥交换算法列表。首先检查sshd_config文件中的配置:

sudo vi /etc/ssh/sshd_config

查看以下字段:

KexAlgorithms

如果此字段为空或包含已知的弱算法(diffie-hellman-group1-sha1),需要进行更新。

2. 使用工具检查当前支持的算法

a. 使用ssh -Q命令列出支持的密钥交换算法:
ssh -Q kex
b. 使用nmap扫描SSH服务:
sudo nmap --script ssh2-enum-algos -p 22 <目标IP>

此命令会列出SSH服务支持的算法,包括密钥交换算法。

c. 使用ssh-audit工具:

ssh-audit是专门用于分析SSH配置和检测弱算法的工具。安装方法如下:

sudo apt install ssh-audit  # Debian/Ubuntu
sudo yum install ssh-audit  # CentOS/RHEL

执行扫描:

ssh-audit <目标IP>

二. 修复弱密钥交换算法

1. 禁用弱算法

编辑/etc/ssh/sshd_config文件,在其中明确指定安全的密钥交换算法。添加或修改如下行:

KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
推荐的强密钥交换算法包括:
  • curve25519-sha256
  • curve25519-sha256@libssh.org
  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521

保存并退出后,重新启动SSH服务:

sudo systemctl restart sshd

2. 更新客户端配置

在客户端配置文件中(通常是~/.ssh/config),添加以下内容以使用安全算法:

Host *
    KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256

三. 验证修复

使用以下命令验证配置是否生效:

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 <目标IP>

如果连接被拒绝,说明弱算法已成功禁用。

使用ssh-auditnmap再次扫描目标以确认。

四. 全面更新系统和SSH版本

老版本的SSH服务可能不支持更安全的密钥交换算法,建议更新到最新版本:

sudo apt update && sudo apt upgrade -y  # Debian/Ubuntu
sudo yum update -y                      # CentOS/RHEL

更新OpenSSH:

sudo apt install openssh-server -y  # Debian/Ubuntu
sudo yum install openssh-server -y  # CentOS/RHEL

五. 监控和日志

通过日志监控验证是否仍有尝试使用弱算法的连接:

查看SSH日志文件:

sudo tail -f /var/log/auth.log  # Debian/Ubuntu
sudo tail -f /var/log/secure    # CentOS/RHEL

查找类似以下记录的条目:

Unable to negotiate with <IP>: no matching key exchange method found

六.禁用TLS中的弱密钥交换算法

如果涉及TLS服务,更新配置文件(例如nginxapache)以禁用弱密钥交换算法,

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5:!3DES:!RSA;

重新启动服务后验证:

openssl s_client -connect <目标IP>:443 -cipher <弱算法>

如果连接失败,说明弱算法已禁用。

ssh支持弱加密算法风险修复
woaixuejinglzq的博客
12-27 1305
客户提供的物理机,在上面部署了公司产品,然后客户做安全扫描,扫出了ssh支持弱加密算法风险。
SSH 服务支持弱加密算法【原理扫描】【可验证】
weixin_44800629的博客
12-27 1740
BC-Linux 8 基于AnolisOS 8 开发,根据 AnolisOS 8 修复方案修复即可。
修复SSH 服务支持弱加密算法漏洞
天道酬勤
05-27 581
去掉 arcfour、arcfour128、arcfour256 等弱加密算法,重启sshd。临时规避办法vim /etc/ssh/
SSH Weak Algorithms Supported漏洞修复
浩瀚天空的博客
09-30 6887
rhel6.6 Nessus安全扫描中发现漏洞: SSH Weak Algorithms Supported Nessus has detected that the remote SSH server is configured to use the Arcfour stream cipher or no cipher at all. RFC 4253 advises against us...
Linux漏洞修复SSH Weak Encryption Algorithms Supported|SSH弱加密算法漏洞
Meodream的博客
07-10 5315
在做漏洞扫描时发现有个名为SSH Weak Encryption Algorithms Supporte基本覆盖了内网全面linux服务器,研究一番后,分享给大家 漏洞描述: The following weak client-to-server encryption algorithms are supported by the remote service: 3des-cbc aes128-c...
OpenSSH算法协议漏洞修复
Innocence_0的博客
03-02 2535
由于低版本的OpenSSH使用了过时不安全的加密算法协议,通常OpenSSH在版本迭代更新时会弃用这些不安全的加密算法。如果我们仍要继续使用旧版本的OpenSSH,可以根据实际情况,考虑屏蔽掉不安全的加密算法,以降低安全风险。
修复SSH服务支持弱加密算法漏洞
wangshui898的专栏
07-06 2486
老版本ssh服务支持弱加密算法漏洞
支持SSH算法
cpongo55
01-07 1906
SSH Weak Algorithms Supported:Nessus has detected that the remote SSH server is configured to use the Arcfour stream cipher or no cipher at all. RFC 4253 advises against using Arcfou...
漏洞SSH Weak Algorithms Supported简析
Morliasde的博客
09-26 1万+
前言         用nessus给linux设备进行漏洞扫描的时候,经常会爆出一个名为SSH WeakAlgorithms Supported的中危漏洞,而且往往一爆就是一大片,而且关键它还挂着个中危的头衔会导致报告的观赏度大大下降。恰逢老板追查,对这个问题稍作了研究和大家分享一下。   一、漏洞描述 nessus官方给的描述信息为: Nessus has detected th
Nessus-LinuxSSH Weak Algorithms Supported & Server CBC Mode Ciphers Enabled漏洞解决方案
JackenLe的博客
05-20 3195
【Server CBC Mode Ciphers Enabled】SSH服务默认是支持CBC模式加密算法的。这可能会导致攻击者从密文中恢复出明文信息。 步骤一: vi /etc/ssh/sshd_config 最后一行添加如下内容 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour Macs hmac-sha1,hmac-ripemd160 步骤二: systemctl restart sshd.ser.
2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞(SSH Weak Algorithms Supported
热门推荐
Peter 的博客
01-16 3万+
本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。 一、漏洞描述 SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。 这个漏洞属于SSH的配置缺陷,SSH服务启用了Arcfour (也称RC4)这个不安全算法。 二、...
SSH Weak Key Exchange Algorithms Enabled
最新发布
07-03
2.在SSH中,密钥交换算法KeyExchange Algorithms)是通过KexAlgorithms(或KexAlgorithm)参数来配置的。3.我们需要识别并禁用不安全的密钥交换算法,如diffie-hellman-group1-sha1, diffie-hellman-group14-sha1...
Centos7修复ssh弱密钥交换算法漏洞
水布天
11-12 1万+
背景 系统进行漏扫后输出如下信息,服务器为内网环境 漏洞名称 漏洞描述 等级 安全建议 SSH Weak Key Exchange Algorithms Enabled SSH 弱密钥交换算法已启用 远程 SSH 服务器配置为允许被认为是弱的密钥交换算法。这是基于 IETF 草案文档 Key Exchange (KEX) Method Updates and Recommendations for Secure Shell (SSH) draft-ietf-curdle-ssh-kex-sh
弱键(Weak Key, ACM/ICPC Seoul 2004, UVa1618)
weixin_30493321的博客
07-17 239
I think: 给出k(4≤k≤5000)个互不相同的整数组成的序列Ni,判断是否存在4个整数Np、Nq、Nr和Ns(1≤p<q<r<s≤k),使得Nq>Ns>Np>Nr或者Nq<Ns<Np<Nr。 p q r s 6 8 5 7 --Nq>Ns>Np>Nr 7 5 8 6 --Nq<Ns<Np<Nr #inclu...
修复Openssh漏洞:SSH Weak Ciphers And Mac Algorithms Supported
JeremyYu的博客
06-11 8647
我扫出来的漏洞报告中只有:SSH Weak Mac Algorithms Supported ,在找修复的方法的时候找到了 这篇文章 ,除了弱MAC之外还提到了弱Ciphers,所以就顺便把另一个也解决了。 只需要把报告中提到的几个加密算法取消即可 1.首先找到ssh服务端的配置文件,我的配置文件位于 /etc/ssh 文件夹下。编辑 sshd_config 文件。 2.添加如下配置,限制SSH
linux禁用ssh弱加密算法,2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞(SSH Weak Algorithms Supported)...
weixin_39861823的博客
05-12 1569
2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞(SSH Weak Algorithms Supported)发布时间:2019-01-16 18:28,浏览次数:3318, 标签:SSHWeakAlgorithmsSupported本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。<>一...
[跟着需求出方案,跟着方案学运维]批量修复漏洞-ssh弱密钥交换算法
水布天
11-13 2266
1、背景 安全整改过程中针对服务器共性问题的修复SSH弱密钥交换算法漏洞为例,以上篇中的《Centos7修复ssh弱密钥交换算法漏洞》为场景结合优化处理。ansible环境搭建可以参考《win10系统下ansible环境的搭建》 2、目的 批量修复服务器SSH弱密钥交换算法漏洞 3、环境说明 名称 型号 备注 window10 教育版64位18363 主操作系统 WSL 1.0 介质 Linux ubuntu18.04LTS 子操作系统 ansible 2.9.10 运维工具
修复SSH Weak Algorithms Supported漏洞
平庸
02-04 1868
修复SSH Weak Algorithms Supported漏洞
ssh弱加密算法漏洞
07-28
SSH弱加密算法漏洞是指在SSH配置文件中没有指定加密算法,导致SSH服务默认支持所有加密算法,包括不安全的弱加密算法,如arcfour, arcfour128, arcfour256等\[1\]。这个漏洞可以通过使用Nmap工具进行验证,命令为:nmap --script ssh2-enum-algos -sV -p 22 \[2\]。修复这个漏洞的方法有多种,其中一种是修改SSH配置文件,添加安全的加密算法\[3\]。这样可以提高SSH通信的安全性,避免被攻击者利用弱加密算法进行攻击。 #### 引用[.reference_title] - *1* *2* [2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞(SSH Weak Algorithms Supported)](https://blog.youkuaiyun.com/qq_40606798/article/details/86512610)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Linux漏洞修复SSH Weak Encryption Algorithms Supported|SSH弱加密算法漏洞](https://blog.youkuaiyun.com/Meodream/article/details/95348639)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值