Linux SSH安全之禁用CBC模式(SSH Server CBC Mode Ciphers)

最新推荐文章于 2025-05-20 21:12:20 发布
原创 最新推荐文章于 2025-05-20 21:12:20 发布 · 1.5k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ssh #安全 #运维 #服务器 #CBC #cipher

在Linux系统中,CBC(Cipher Block Chaining)模式的加密算法被认为存在安全隐患(例如可能被攻击者利用来进行Padding Oracle攻击)。因此,建议禁用SSH服务中不安全的CBC模式加密算法,并使用更安全的加密算法:CTR(Counter Mode)GCM(Galois/Counter Mode)

一. 检查当前SSH服务支持的加密算法

  1. 列出SSH服务支持的加密算法
    使用以下命令列出服务器端支持的加密算法:

    ssh -Q cipher


    sshd -T | grep ciphers

    如果输出中包含 aes128-cbc3des-cbc 等信息,则说明SSH服务支持CBC模式加密。

  2. 检查当前使用的加密算法
    从客户端测试连接,查看会话使用的加密算法:

    ssh -v username@hostname

    在输出中寻找类似以下内容:

    debug1: kex: algorithm: diffie-hellman-group-exchange-sha256
debug1: cipher: aes128-cbc

    如果使用了 -cbc 相关算法,则需要进行修复。

二. 修改SSH服务配置文件

  1. 编辑SSH服务的配置文件:

    sudo vi /etc/ssh/sshd_config

  2. 查找或添加以下配置项,用于指定允许的加密算法:

    Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-gcm@openssh.com,aes128-gcm@openssh.com
  • Ciphers 指定允许的加密算法。
  • 移除任何 cbc 模式的算法(如 aes128-cbc3des-cbc)。
  • 使用 ctrgcm 模式的算法。
  1. 保存文件并退出。

三. 重新启动SSH服务

修改配置后,重启SSH服务以使更改生效:

sudo systemctl restart sshd


sudo service sshd restart

四. 验证配置更改

  1. 重新列出支持的加密算法

    ssh -Q cipher

    确保输出中不再包含 cbc 模式的算法。

  2. 测试客户端连接
    使用以下命令连接,确认是否使用安全算法:

    ssh -v username@hostname

    确保输出中显示的加密算法为非 cbc 模式,例如:

    debug1: cipher: aes256-ctr

五. 扫描SSH服务的漏洞

  1. 使用工具扫描SSH服务以验证是否仍支持CBC模式加密算法:

    • nmap

      nmap --script ssh2-enum-algos -p 22 hostname

      检查输出中是否列出了CBC模式加密算法。

    • ssh-audit(需要安装):

      ssh-audit hostname

      该工具可以详细列出SSH服务的加密算法及其安全性。

  2. 如果发现仍然支持CBC模式,重新检查 /etc/ssh/sshd_config 文件中的配置。

六. 其他

  1. 升级OpenSSH
    确保使用最新版本的OpenSSH,旧版本可能支持不安全的算法。

    sudo apt update && sudo apt install openssh-server

  2. 测试回滚策略
    在修改前,确保已验证SSH配置文件语法,以避免配置错误导致无法连接:

    sudo sshd -t

  3. 限制登录协议版本
    在配置文件中确保只允许SSH协议版本2:

    Protocol 2
SSH配置文件
蛐蛐的博客
11-02 815
此页面是关于OpenSSH客户端配置的。 有关OpenSSH服务器的配置,请参见sshd_config。 有关Tectia SSH配置,请参见《 Tectia SSH服务器管理员手册》。 有关配置无密码公钥认证的信息,请参见ssh-keygen。 主机上的ssh程序从命令行或配置文件〜/ .ssh / config和/ etc / ssh / ssh_config接收其配置。 命令行选项优先于配置文件。 接下来使用用户特定的配置文件〜/ .ssh / config。 最后,使用全局/ et...
67、SSH 工具使用与配置全解析
最新发布
rum55的博客
07-29 9
本文全面解析了SSH相关工具的使用与配置,包括sshd、ssh、scp、ssh-keygen、ssh-add等,深入介绍了SSH配置关键字、命令选项、安全性提升策略、性能优化方法及常见问题的解决流程。通过详细解析SSH的认证方式、访问控制、加密协议、连接复用、压缩设置等内容,帮助用户更好地掌握SSH安全配置与性能调优技巧,适用于各种网络环境下的安全连接需求。
linux禁用ssh弱加密算法,ssh弱加密算法漏洞修复
weixin_35642839的博客
05-12 7289
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?ssh弱加密算法漏洞修复SSH弱加密算法漏洞修复1.A security scan turned up two SSH vulnerabilities:1)SSH Server CBC Mode Ciphers Enabled解释:CBC模式(Cipher Block Chaining模式,密文分组链接模式),之所以叫这...
Centos7/SSH Weak Key Exchange Algorithms Enabled/SSH Server CBC Mode Ciphers Enabled
Jian Sun_的博客
09-09 425
SSH Weak Key Exchange Algorithms EnabledSSH Server CBC Mode Ciphers Enabled https://knowledge.broadcom.com/external/article/263231/disabling-weak-kex-algorithms-hostkey-al.html http://kb.ictbanking.net/article.php?id=690&oid=2 https://access.redhat.com/sol
SSH 弱密钥交换算法 通过禁用CBC模式解决SSH服务器CBC加密模式漏洞(CVE-2008-5161)
冰恋云的专栏
09-14 1987
修复方法Linux平台修改sshd_config配置文件,删除不安全的加密算法重启服务3.查看修改后的配置文件。
通过禁用CBC模式解决SSH服务器CBC加密模式漏洞(CVE-2008-5161)
weixin_45815061的博客
07-14 2615
第一步,进入服务器找到 /etc/ssh/sshd_config文件。第二步,编辑该文件找到# Ciphers and keying。可以先执行一下第四步,验证一下问题解决前后的区别。添加或者修改为(其实就是去掉CBC的算法)第三步,重启ssh服务。第四步,验证是否成功。
SSH服务器CBC加密模式漏洞 CVE-2008-5161修复方法
weixin_48895757的博客
12-15 2609
如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^{-18}, 此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14};修复建议:在安装完成centos7系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,此时需要将CBC的加密方式修改为CTR或者GCM。测试sshcbc连接。
Nessus-LinuxSSH Weak Algorithms Supported & Server CBC Mode Ciphers Enabled漏洞解决方案
JackenLe的博客
05-20 3195
Server CBC Mode Ciphers EnabledSSH服务默认是支持CBC模式加密算法的。这可能会导致攻击者从密文中恢复出明文信息。 步骤一: vi /etc/ssh/sshd_config 最后一行添加如下内容 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour Macs hmac-sha1,hmac-ripemd160 步骤二: systemctl restart sshd.ser.
Linux命令大全】SSH命令安全实践:远程管理的艺术与科学
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
05-20 1257
服务器暴露在公网的持续威胁合规审计的严格要求多团队协作的权限管控自动化运维安全通道跨国网络连接的不稳定性💡震撼数据:Top500超算中100%使用SSH作为主要管理协议,金融行业95%的运维操作依赖SSH加密通道!
Host * # ForwardAgent no # ForwardX11 no # PasswordAuthentication yes # HostbasedAuthentication no # GSSAPIAuthentication no # GSSAPIDelegateCredentials no # GSSAPIKeyExchange no # GSSAPITrustDNS no # BatchMode no # CheckHostIP yes # AddressFamily any # ConnectTimeout 0 # StrictHostKeyChecking ask # IdentityFile ~/.ssh/id_rsa # IdentityFile ~/.ssh/id_dsa # IdentityFile ~/.ssh/id_ecdsa # IdentityFile ~/.ssh/id_ed25519 # Port 22 # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc # MACs hmac-md5,hmac-sha1,umac-64@openssh.com # EscapeChar ~ # Tunnel no # TunnelDevice any:any
03-26
同时,像Ciphers和MACs这些涉及到加密算法的部分,可能需要提醒用户注意兼容性和安全性,特别是如果他们在使用较新或较旧的SSH版本时。 另外,像Port 22是默认的SSH端口,但用户有时会更改端口以避免攻击。Connect...
openssh kex.c拒绝服务漏洞漏洞(CVE-2016-8858)处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
05-23 1144
该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。代码修复链接如下:http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/kex.c#rev1.127。补丁下载:http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/kex.c。更多参看:https://cve.mitre.org/cgi-bin/cvename.cgi?
修改SSH服务器密码块链接(CBC)加密方式为CTR
fanda-star
11-22 3853
centos7.4系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,此时需要将CBC的加密方式修改为CTR或者GCM。 操作如下: 第一步: 修改sshd的配置 vim /etc/ssh/sshd_config 进入编辑模式后删除如下配置 # Ciphers and keying 第二步: 在文件的末尾添加: Ciphers aes128-ctr,aes192-ctr,aes256-ctr (Ciphers 第一个字母要大写) 第三步: 重启
SSH Server CBC Mode Ciphers Enabled漏洞修复
sinat_35855737的博客
06-03 1702
原文链接1 原文链接2
SSH服务器CBC加密模式漏洞(CVE-2008-5161)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
07-25 9447
ssh服务器配置为支持密码块链接(cbc)加密。这可能允许攻击者从密文中恢复明文消息。注意,这个插件只检查ssh服务器的选项,不检查易受攻击的软件版本。CBCCipher-blockchaining,密码分组链接模式),它具备依赖性,加密过程是串行的,无法被并行化,但是解密可以并行化,因为一个密文会影响到该明文与后一个明文,不会对其他明文产生影响。消息必须是块大小的整数倍,不够需要填充。但无法直接从密文中看出明文信息块的规律,所以安全性比较好。...
OpenSSH CBC模式信息泄露漏洞 解决
热门推荐
q1009020096的博客
01-16 2万+
文章目录问题解决验证解决思路参考文献 问题 某个我们对某个服务进行了漏洞扫描,在扫描报告中发现了一个低微漏洞 [ 低风险 ] OpenSSH CBC模式信息泄露漏洞 该漏洞描述为: OpenSSH是一种开放源码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下。 如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话...
屏蔽SSH服务的弱密码算法
灼烧的疯狂
02-24 5868
前言 等保测试: 1、目标主机SSH服务存在RC4、CBC或None弱加密算法 2、如果配置为CBC模式的话,SSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误 解决办法:仅保留CTR加密算法 参考文章 1、编辑 ssh 配置文件 vim /etc/ssh/sshd_config 2、把弱加密方式都排除掉,我这边保留的如下内容 Ciphers aes128-ctr,aes192-ctr,aes256-ctr MACs hmac-sha1,hmac-ripemd160 参考内容: # defa
配置类安全问题学习小结
dayouzi的博客
09-06 9661
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值