SSH Weak Algorithms Supported漏洞修复

最新推荐文章于 2025-07-07 09:57:44 发布
最新推荐文章于 2025-07-07 09:57:44 发布
阅读量6.8k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhongkaigood/article/details/82910338
本文介绍如何解决RHEL6.6系统在Nessus安全扫描中发现的SSHWeakAlgorithmsSupported漏洞。通过修改sshd_config文件中的加密算法和MAC设置,禁用不安全的Arcfour流密码,采用更安全的AES-CTR加密和HMAC-SHA1等MAC算法,提升SSH服务安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

rhel6.6

Nessus安全扫描中发现漏洞:

SSH Weak Algorithms Supported

Nessus has detected that the remote SSH server is configured to use the Arcfour stream cipher or no cipher at all. RFC 4253 advises against using Arcfour due to an issue with weak keys.

root用户中输入

vi /etc/ssh/sshd_config

文件的最下方添加下面两行内容保存:

Ciphers aes128-ctr,aes192-ctr,aes256-ctr
MACs hmac-sha1,hmac-ripemd160

重启sshd 服务

service sshd restart

完成

修复Openssh漏洞SSH Weak Ciphers And Mac Algorithms Supported
JeremyYu的博客
06-11 8661
我扫出来的漏洞报告中只有:SSH Weak Mac Algorithms Supported ,在找修复的方法的时候找到了 这篇文章 ,除了弱MAC之外还提到了弱Ciphers,所以就顺便把另一个也解决了。 只需要把报告中提到的几个加密算法取消即可 1.首先找到ssh服务端的配置文件,我的配置文件位于 /etc/ssh 文件夹下。编辑 sshd_config 文件。 2.添加如下配置,限制SSH
2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞SSH Weak Algorithms Supported
热门推荐
Peter 的博客
01-16 3万+
本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。 一、漏洞描述 SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。 这个漏洞属于SSH的配置缺陷,SSH服务启用了Arcfour (也称RC4)这个不安全算法。 二、...
漏洞SSH Weak Algorithms Supported简析
Morliasde的博客
09-26 1万+
前言         用nessus给linux设备进行漏洞扫描的时候,经常会爆出一个名为SSH WeakAlgorithms Supported的中危漏洞,而且往往一爆就是一大片,而且关键它还挂着个中危的头衔会导致报告的观赏度大大下降。恰逢老板追查,对这个问题稍作了研究和大家分享一下。   一、漏洞描述 nessus官方给的描述信息为: Nessus has detected th
【生产实践】SSH服务弱加密算法修复指南(附完整操作流程)
最新发布
SunMy的博客
07-07 1073
SSH服务弱加密算法漏洞修复方案 检测发现SSH服务存在支持弱加密算法漏洞,主要风险包括: 使用arcfour、aes128-cbc等易被破解的算法 面临密钥恢复、重放攻击等安全威胁 提供两种修复方案: 推荐方案:升级OpenSSH至最新版本 替代方案:修改SSH配置禁用弱算法(需注意可能影响旧客户端连接) 修复步骤: 编辑/etc/ssh/sshd_config 注释或删除弱算法配置 添加强加密算法(如aes128-ctr等) 重启SSH服务 注意事项: 建议先在测试环境验证 可能需配合客户端升级 操作前
修复SSH Weak Algorithms Supported漏洞
平庸
02-04 1884
修复SSH Weak Algorithms Supported漏洞
Nessus-Linux,SSH Weak Algorithms Supported & Server CBC Mode Ciphers Enabled漏洞解决方案
JackenLe的博客
05-20 3207
【Server CBC Mode Ciphers Enabled】SSH服务默认是支持CBC模式加密算法的。这可能会导致攻击者从密文中恢复出明文信息。 步骤一: vi /etc/ssh/sshd_config 最后一行添加如下内容 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,arcfour Macs hmac-sha1,hmac-ripemd160 步骤二: systemctl restart sshd.ser.
How To Resolve SSH Weak Key Exchange Algorithms on CentOS7 or RHEL7
Jian Sun_的博客
03-11 1023
【代码】How To Resolve SSH Weak Key Exchange Algorithms on CentOS7 or RHEL7。
ssh弱加密算法漏洞
07-28
- *3* [Linux漏洞修复SSH Weak Encryption Algorithms Supported|SSH弱加密算法漏洞](https://blog.youkuaiyun.com/Meodream/article/details/95348639)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...
openssl漏洞检查修复
thinker
09-14 3732
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。链接:https://www.openssl.org/news/secadv/20160922.txt。链接:https://www.openssl.org/news/secadv/20160922.txt。重点:避免使用IDEA、DES和3DES算法。主要是修改conf文件。
NESS漏洞扫描SSH WeakAlgorithms Supported漏洞的解决
zhaozhanyong的专栏
12-15 4743
1、在ssh配置文件/etc/ssh/sshd_config中添加下面这行配置。 Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se     2、重启ssh服务
支持SSH弱算法
cpongo55
01-07 1917
SSH Weak Algorithms Supported:Nessus has detected that the remote SSH server is configured to use the Arcfour stream cipher or no cipher at all. RFC 4253 advises against using Arcfou...
HTTP协议1.1中文翻译(RFC2612)
08-07
RFC2612,HTTP 1.1协议标准中文版。 HTTP协议开发以及WEB开发必备参考资料
linux禁用ssh弱加密算法,2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞SSH Weak Algorithms Supported)...
weixin_39861823的博客
05-12 1586
2. 漏洞复测系列 -- SSH 支持弱加密算法漏洞(SSH Weak Algorithms Supported)发布时间:2019-01-16 18:28,浏览次数:3318, 标签:SSHWeakAlgorithmsSupported本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。<>一...
Linux SSH弱密钥交换算法(Weak Key Exchange Algorithms)检查及修复
promise524的博客
12-04 1374
在Linux环境中,是指存在安全漏洞的算法,这些算法可能被攻击者利用进行中间人攻击或其他形式的密码学攻击。和。
Linux漏洞修复SSH Weak Encryption Algorithms Supported|SSH弱加密算法漏洞
Meodream的博客
07-10 5356
在做漏洞扫描时发现有个名为SSH Weak Encryption Algorithms Supporte基本覆盖了内网全面linux服务器,研究一番后,分享给大家 漏洞描述: The following weak client-to-server encryption algorithms are supported by the remote service: 3des-cbc aes128-c...
OpenSSH算法协议漏洞修复
Innocence_0的博客
03-02 2612
由于低版本的OpenSSH使用了过时不安全的加密算法协议,通常OpenSSH在版本迭代更新时会弃用这些不安全的加密算法。如果我们仍要继续使用旧版本的OpenSSH,可以根据实际情况,考虑屏蔽掉不安全的加密算法,以降低安全风险。
Linux Redhat 服务器 OpenSSH 漏洞修复 or 升级 OpenSSH 8.8
.
06-30 9253
【详解--分析--实操 | Linux Redhat OpenSSH 漏洞修复 or 升级 OpenSSH 8.8
Tomcat常见漏洞
aliaichidantong的博客
11-07 2313
一、The remote web server contains default files. # tomcat默认404页面会暴露tomcat版本号 # 添加默认页面 # vi 编辑tomcat下的conf/web.xml,末尾添加 …… # 程序默认访问页-可不加 <welcome-file-list> <welcome-file>index.html</welcome-file> <welcome-file>
SSH Weak Key Exchange Algorithms Enabled
07-03
<think>我们正在处理用户关于如何禁用SSH弱密钥交换算法的问题。根据系统指令,我们需要使用中文回答,并遵循特定的格式要求。首先,我们需要理解用户的需求:检测并禁用SSH服务中的弱密钥交换算法,以提高安全性。我们将参考提供的引用内容,但注意引用[1]是关于SSH配置的示例,其中包含用户认证和密码配置,但并未直接涉及密钥交换算法。引用[2]是关于TLS密码套件的配置,引用[3]是关于Samba共享的配置,这些与SSH配置关系不大。因此,我们将主要依赖SSH的标准配置知识。步骤:1.SSH的配置文件通常是/etc/ssh/sshd_config。2.在SSH中,密钥交换算法(KeyExchange Algorithms)是通过KexAlgorithms(或KexAlgorithm)参数来配置的。3.我们需要识别并禁用不安全的密钥交换算法,如diffie-hellman-group1-sha1, diffie-hellman-group14-sha1等(具体取决于系统支持的算法和已知的安全漏洞)。4.通常,我们应选择使用更安全的算法,如ecdh-sha2-nistp521,ecdh-sha2-nistp384, ecdh-sha2-nistp256,curve25519-sha256等。但是,请注意,具体的算法名称可能因OpenSSH版本而异。较新的版本可能已经默认禁用了一些弱算法。操作步骤:1.编辑SSH服务器配置文件:/etc/ssh/sshd_config。2.在文件中添加或修改KexAlgorithms配置行,指定允许使用的安全算法。3.重启SSH服务使配置生效。在配置之前,我们可以通过命令`ssh -Q kex`来查看当前支持的密钥交换算法列表,然后从中选择安全的算法。示例配置:假设我们想仅允许使用以下安全算法:curve25519-sha256,curve25519-sha256@libssh.org, ecdh-sha2-nistp256,ecdh-sha2-nistp384, ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256则配置行可以写为:KexAlgorithmscurve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256注意:算法列表之间不要有空格,或者用逗号分隔,每个算法作为一个字符串。另外,我们也可以使用更严格的配置,例如只使用curve25519和ecdh算法,避免使用diffie-hellman-group-exchange-sha256(如果认为不够安全,但通常这个算法是安全的)。在修改配置前,建议备份原配置文件。重启SSH服务的方法取决于系统,例如在Ubuntu上可以使用:sudo systemctl restartsshd在重启服务之前,最好测试配置是否正确,以避免导致无法连接:sudosshd-t如果没有报错,则可以重启。另外,我们还可以通过修改配置来禁用其他不安全的算法,比如加密算法(Ciphers)和MAC算法,但用户问题只关注密钥交换算法。为了确保安全,我们还可以参考最新的安全建议,例如Mozilla的SSH配置指南。根据引用[1]中提供的配置片段,虽然它没有直接给出密钥交换的配置,但我们可以参考其格式来编写配置。因此,我们的回答将包括以下内容:-编辑配置文件-设置KexAlgorithms参数-重启服务同时,我们生成相关问题。注意:在回答中,行内数学表达式(如果有)使用$...$,独立公式使用$$...$$。但本问题可能不涉及数学公式,因此我们主要关注配置步骤。回答结构:1.解释问题2.具体步骤3.示例配置4.注意事项生成相关问题:1.如何测试SSH服务当前使用的密钥交换算法?2.除了密钥交换算法,SSH还有哪些安全配置需要注意?3.如何备份和恢复SSH配置?开始编写回答。</think>### 如何禁用SSH弱密钥交换算法 在SSH服务中禁用弱密钥交换算法是提升安全性的关键步骤。以下是具体操作流程: #### 1. **定位SSH配置文件** - 主配置文件路径:`/etc/ssh/sshd_config` - 使用命令编辑: ```bash sudo nano /etc/ssh/sshd_config ``` #### 2. **识别并禁用弱算法** 在配置文件中添加或修改以下参数: ```bash # 禁用不安全的密钥交换算法 KexAlgorithms curve25519-sha256,ecdh-sha2-nistp521,ecdh-sha2-nistp384,diffie-hellman-group-exchange-sha256 ``` - **解释**: - `curve25519-sha256`:当前最安全的椭圆曲线算法[^1] - `ecdh-sha2-nistp521`:高强度的NIST曲线算法 - 显式排除弱算法如 `diffie-hellman-group1-sha1`(已知漏洞) #### 3. **验证配置语法** 测试配置文件正确性: ```bash sudo sshd -t # 无错误输出表示配置有效 ``` #### 4. **重启SSH服务** ```bash sudo systemctl restart sshd # 应用新配置 ``` #### 5. **验证生效** 使用扫描工具检测: ```bash ssh -Q kex localhost # 显示当前启用的算法 nmap --script ssh2-enum-algos <服务器IP> # 远程验证 ``` #### 安全建议 1. **最小化算法集**:仅保留必要算法(如示例配置) 2. **更新OpenSSH**:确保版本 ≥ 8.2(默认禁用弱算法) 3. **审计配置**:定期运行 `sshd -T | grep kex` 检查当前设置 4. **参考标准**:遵循Mozilla SSH安全指南[^2] > ⚠️ **注意**:修改前在测试环境验证,避免生产环境断连。对于旧客户端兼容性,可临时保留 `diffie-hellman-group16-sha512`,但需评估风险[^3]。 --- ### 相关问题 1. 如何检测SSH服务器当前使用的密钥交换算法? 2. 启用SSH算法白名单后客户端无法连接,如何排查? 3. 除了密钥交换算法,SSH还有哪些安全配置需要优化? [^1]: 椭圆曲线算法提供更强的安全性且计算效率更高,详见NIST SP 800-186标准 [^2]: Mozilla SSH安全指南: https://infosec.mozilla.org/guidelines/openssh [^3]: OpenSSH兼容性文档: https://www.openssh.com/releasenotes.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值