美文网首页
SSH&SSL弱加密算法漏洞修复

SSH&SSL弱加密算法漏洞修复

作者: a5ae844909d8 | 来源:发表于2018-12-11 17:27 被阅读0次

    一、SSH

    SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。

    修改SSH配置文件,添加加密算法:

    vi /etc/ssh/sshd_config

    Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

    最后面添加以下内容(去掉arcfour,arcfour128,arcfour256等弱加密算法):

    ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于,前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

    保存文件后重启SSH服务:

    service sshd restart or  service ssh restart

    验证

    ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>

    ssh -vv -oMACs=hmac-md5 <server>

    二、SSL

    修改SSL配置文件中的的SSL Cipher参数

    1、禁止apache服务器使用RC4加密算法

    vi /etc/httpd/conf.d/ssl.conf

    修改为如下配置

    SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

    重启apache服务

    2、关于nginx加密算法

    1.0.5及以后版本,默认SSL密码算法是HIGH:!aNULL:!MD5

    0.7.65、0.8.20及以后版本,默认SSL密码算法是HIGH:!ADH:!MD5

    0.8.19版本,默认SSL密码算法是    ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM

    0.7.64、0.8.18及以前版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

    低版本的nginx或没注释的可以直接修改域名下ssl相关配置为

    ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES

    256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC

    M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

    ssl_prefer_server_ciphers on;

    需要nginx重新加载服务

    相关文章

      网友评论

          本文标题:SSH&SSL弱加密算法漏洞修复

          本文链接:https://www.haomeiwen.com/subject/qahehqtx.html