使用綠盟漏掃設備rsas經常可以在ssh服務端口掃描到"SSH 支持弱加密算法漏洞 【原理掃描】",可以端口banner處看到探測到的弱加密算法
一般不是誤報,如果想驗證漏洞,可以使用namp進行驗證,漏洞描述與驗證具體如下:
一、漏洞描述
SSH的配置文件中加密算法沒有指定,默認支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。
這個漏洞屬於SSH的配置缺陷,SSH服務啟用了Arcfour (也稱RC4)這個不安全算法。
二、漏洞驗證
使用 nmap 進行驗證
nmap --script ssh2-enum-algos -sV -p 22 xx.xx.xx.xx
結果如下,可以看到22端口使用了arcfour、arcfour128、arcfour256 等弱加密算法,漏洞存在。
三、漏洞修復
方案一:修改 SSH 配置文件,添加加密算法:
vi /etc/ssh/sshd_config
最后添加一下內容(去掉 arcfour、arcfour128、arcfour256 等弱加密算法)
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
保存文件后重啟 SSH 服務
service sshd restart
使用nmap再次驗證:
nmap --script ssh2-enum-algos -sV -p 22 xx.xx.xx.xx
可以看到已不支持 arcfour,arcfour128,arcfour256等弱加密算法,漏洞修復。
方案二:升級 openssh 版本為最新版本
官網有說明,Openssh 7.0以后的默認版本禁用了一些比較低版本的密鑰算法。
我這次遇到的是ubuntu自帶的openssh,所以並未采用升級版本的方法。
注:SSH Weak MAC Algorithms Enabled 漏洞修復使用同樣的方式,在/etc/ssh/sshd_config文件末尾添加以下行:
MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160