Linux SSH安全之禁用CBC模式(SSH Server CBC Mode Ciphers)

最新推荐文章于 2025-11-01 18:57:44 发布
原创 最新推荐文章于 2025-11-01 18:57:44 发布 · 1.9k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ssh #安全 #运维 #服务器 #CBC #cipher

在Linux系统中,CBC(Cipher Block Chaining)模式的加密算法被认为存在安全隐患(例如可能被攻击者利用来进行Padding Oracle攻击)。因此,建议禁用SSH服务中不安全的CBC模式加密算法,并使用更安全的加密算法:CTR(Counter Mode)GCM(Galois/Counter Mode)

一. 检查当前SSH服务支持的加密算法

  1. 列出SSH服务支持的加密算法
    使用以下命令列出服务器端支持的加密算法:

    ssh -Q cipher


    sshd -T | grep ciphers

    如果输出中包含 aes128-cbc3des-cbc 等信息,则说明SSH服务支持CBC模式加密。

  2. 检查当前使用的加密算法
    从客户端测试连接,查看会话使用的加密算法:

    ssh -v username@hostname

    在输出中寻找类似以下内容:

    debug1: kex: algorithm: diffie-hellman-group-exchange-sha256
debug1: cipher: aes128-cbc

    如果使用了 -cbc 相关算法,则需要进行修复。

二. 修改SSH服务配置文件

  1. 编辑SSH服务的配置文件:

    sudo vi /etc/ssh/sshd_config

  2. 查找或添加以下配置项,用于指定允许的加密算法:

    Ciphers aes256-ctr,aes192-ctr,aes128-ctr,aes256-gcm@openssh.com,aes128-gcm@openssh.com
  • Ciphers 指定允许的加密算法。
  • 移除任何 cbc 模式的算法(如 aes128-cbc3des-cbc)。
  • 使用 ctrgcm 模式的算法。
  1. 保存文件并退出。

三. 重新启动SSH服务

修改配置后,重启SSH服务以使更改生效:

sudo systemctl restart sshd


sudo service sshd restart

四. 验证配置更改

  1. 重新列出支持的加密算法

    ssh -Q cipher

    确保输出中不再包含 cbc 模式的算法。

  2. 测试客户端连接
    使用以下命令连接,确认是否使用安全算法:

    ssh -v username@hostname

    确保输出中显示的加密算法为非 cbc 模式,例如:

    debug1: cipher: aes256-ctr

五. 扫描SSH服务的漏洞

  1. 使用工具扫描SSH服务以验证是否仍支持CBC模式加密算法:

    • nmap

      nmap --script ssh2-enum-algos -p 22 hostname

      检查输出中是否列出了CBC模式加密算法。

    • ssh-audit(需要安装):

      ssh-audit hostname

      该工具可以详细列出SSH服务的加密算法及其安全性。

  2. 如果发现仍然支持CBC模式,重新检查 /etc/ssh/sshd_config 文件中的配置。

六. 其他

  1. 升级OpenSSH
    确保使用最新版本的OpenSSH,旧版本可能支持不安全的算法。

    sudo apt update && sudo apt install openssh-server

  2. 测试回滚策略
    在修改前,确保已验证SSH配置文件语法,以避免配置错误导致无法连接:

    sudo sshd -t

  3. 限制登录协议版本
    在配置文件中确保只允许SSH协议版本2:

    Protocol 2
Juniper交换机漏洞CVE-2008-5161
Jian Sun_的博客
10-30 667
1.Contact the vendor or consult product documentation to disable CBC mode cipher encryption, and enable CTR or GCM cipher mode encryption. All Junos software releases built on or after 2010-06-25 have been modified to prefer CTR modes. Releases containing
SSH配置文件
蛐蛐的博客
11-02 937
此页面是关于OpenSSH客户端配置的。 有关OpenSSH服务器的配置,请参见sshd_config。 有关Tectia SSH配置,请参见《 Tectia SSH服务器管理员手册》。 有关配置无密码公钥认证的信息,请参见ssh-keygen。 主机上的ssh程序从命令行或配置文件〜/ .ssh / config和/ etc / ssh / ssh_config接收其配置。 命令行选项优先于配置文件。 接下来使用用户特定的配置文件〜/ .ssh / config。 最后,使用全局/ et...
Centos7/SSH Weak Key Exchange Algorithms Enabled/SSH Server CBC Mode Ciphers Enabled
Jian Sun_的博客
09-09 504
SSH Weak Key Exchange Algorithms EnabledSSH Server CBC Mode Ciphers Enabled https://knowledge.broadcom.com/external/article/263231/disabling-weak-kex-algorithms-hostkey-al.html http://kb.ictbanking.net/article.php?id=690&oid=2 https://access.redhat.com/sol
【生产实践】SSH服务弱加密算法修复指南(附完整操作流程)
SunMy的博客
07-07 2037
SSH服务弱加密算法漏洞修复方案 检测发现SSH服务存在支持弱加密算法漏洞,主要风险包括: 使用arcfour、aes128-cbc等易被破解的算法 面临密钥恢复、重放攻击等安全威胁 提供两种修复方案: 推荐方案:升级OpenSSH至最新版本 替代方案:修改SSH配置禁用弱算法(需注意可能影响旧客户端连接) 修复步骤: 编辑/etc/ssh/sshd_config 注释或删除弱算法配置 添加强加密算法(如aes128-ctr等) 重启SSH服务 注意事项: 建议先在测试环境验证 可能需配合客户端升级 操作前
OpenSSH算法协议漏洞修复
热门推荐
zhongxj183的博客
05-23 3万+
OpenSSH算法协议漏洞修复 由于低版本的OpenSSH使用了过时不安全的加密算法协议,通常OpenSSH在版本迭代更新时会弃用这些不安全的加密算法。 如果我们仍要继续使用旧版本的OpenSSH,可以根据实际情况,考虑屏蔽掉不安全的加密算法,以降低安全风险。 SSH Weak Key Exchange Algorithms Enabled(启用SSH弱密钥交换算法) 查看kexalgorithms 查看客户端支持的kexalgorithms ssh -Q kex 查看服务端支持的kexalgorit
SSH 弱密钥交换算法 通过禁用CBC模式解决SSH服务器CBC加密模式漏洞(CVE-2008-5161)
冰恋云的专栏
09-14 2392
修复方法Linux平台修改sshd_config配置文件,删除不安全的加密算法重启服务3.查看修改后的配置文件。
通过禁用CBC模式解决SSH服务器CBC加密模式漏洞(CVE-2008-5161)
weixin_45815061的博客
07-14 2827
第一步,进入服务器找到 /etc/ssh/sshd_config文件。第二步,编辑该文件找到# Ciphers and keying。可以先执行一下第四步,验证一下问题解决前后的区别。添加或者修改为(其实就是去掉CBC的算法)第三步,重启ssh服务。第四步,验证是否成功。
Linux命令大全】SSH命令安全实践:远程管理的艺术与科学
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
05-20 1340
服务器暴露在公网的持续威胁合规审计的严格要求多团队协作的权限管控自动化运维安全通道跨国网络连接的不稳定性💡震撼数据:Top500超算中100%使用SSH作为主要管理协议,金融行业95%的运维操作依赖SSH加密通道!
SSH 安全深度优化:从配置文件到防火墙的全链路加固方案
最新发布
xiaojie963的博客
11-01 722
"text":"**文件**:/etc/ssh/sshd_config\n**事件**:'$events'\n**时间**:'$(date "+%Y-%m-%d %H:%M:%S")'\n**风险**:可能存在未授权修改""text":"**异常IP**:'$1'\n**端口**:'$2'\n**服务**:'$3'\n**时间**:'$(date "+%Y-%m-%d %H:%M:%S")'\n**原因**:3次登录失败,已封禁24小时"SSH 安全不仅要 “防得住”,还要 “查得到”“早发现”。
别让 SSH 成后门!运维工程师的安全配置晋级手册
xiaojie963的博客
11-01 880
摘要:SSH作为核心运维通道,不当配置可能沦为黑客入侵后门。本文提供四级防护方案:1)基础加固:禁用root登录、修改隐藏端口、禁用弱协议;2)密钥管理:Passphrase加密、定期轮换、证书认证;3)权限管控:Match规则限制、禁用端口转发、绑定sudo与密钥;4)监控响应:fail2ban防护、异常登录告警、日志备份。
67、SSH 工具使用与配置全解析
dropout6artist的博客
08-03 118
本文全面解析了SSH相关工具的使用与配置,涵盖sshd关键字、ssh和scp选项、ssh-keygen密钥生成、安全性提升策略、性能优化方法以及常见问题的解决方案。通过详细说明和示例,帮助用户更高效、更安全地使用SSH协议及相关工具,适用于不同场景下的网络连接需求。
SSH服务器CBC加密模式漏洞 CVE-2008-5161修复方法
weixin_48895757的博客
12-15 2852
如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^{-18}, 此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14};修复建议:在安装完成centos7系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,此时需要将CBC的加密方式修改为CTR或者GCM。测试sshcbc连接。
修改SSH服务器密码块链接(CBC)加密方式为CTR
fanda-star
11-22 3930
centos7.4系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,此时需要将CBC的加密方式修改为CTR或者GCM。 操作如下: 第一步: 修改sshd的配置 vim /etc/ssh/sshd_config 进入编辑模式后删除如下配置 # Ciphers and keying 第二步: 在文件的末尾添加: Ciphers aes128-ctr,aes192-ctr,aes256-ctr (Ciphers 第一个字母要大写) 第三步: 重启
修复SSH 服务支持弱加密算法漏洞
平庸
02-19 6121
修复SSH 服务支持弱加密算法漏洞
linux禁用ssh弱加密算法,SSH&SSL弱加密算法漏洞修复
weixin_27964579的博客
05-12 1711
一、SSHSSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。修改SSH配置文件,添加加密算法:vi /etc/ssh/sshd_config最后面添加以下内容(去掉arcfour,arcfour128,arcfour256等弱加密算法)Ciphers aes128-ctr,aes192-ctr,aes256-ct...
Nessus-LinuxSSH Weak Algorithms Supported & Server CBC Mode Ciphers Enabled漏洞解决方案
JackenLe的博客
05-20 3283
Server CBC Mode Ciphers EnabledSSH服务默认是支持CBC模式加密算法的。这可能会导致攻击者从密文中恢复出明文信息。 步骤一: vi /etc/ssh/sshd_config 最后一行添加如下内容 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour Macs hmac-sha1,hmac-ripemd160 步骤二: systemctl restart sshd.ser.
漏洞建议:实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件
海浪—华的博客
05-14 2467
4月底展开的护网前期准备工作–端口渗透的漏洞结果 通报主机apache-tomcat-7.0.85 存在 不安全的ssl证书,相关问题需要修复整改 漏洞建议:实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件。 目前处理办法: server.xml中替换为以下代码 <Connector port="8099" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSH服务器CBC加密模式漏洞(CVE-2008-5161)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
07-25 9670
ssh服务器配置为支持密码块链接(cbc)加密。这可能允许攻击者从密文中恢复明文消息。注意,这个插件只检查ssh服务器的选项,不检查易受攻击的软件版本。CBCCipher-blockchaining,密码分组链接模式),它具备依赖性,加密过程是串行的,无法被并行化,但是解密可以并行化,因为一个密文会影响到该明文与后一个明文,不会对其他明文产生影响。消息必须是块大小的整数倍,不够需要填充。但无法直接从密文中看出明文信息块的规律,所以安全性比较好。...
open ssh CBC模式是什么意思
10-22
- CBC模式有已知的安全问题,如填充预言攻击(Padding Oracle Attacks),因此在现代实践中,更推荐使用其他模式如GCM(Galois/Counter Mode),因为它提供认证加密。 用户的问题是“OpenSSH CBC模式的含义”,所以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值