1 檢測漏洞
下載檢測工具
https://github.com/drwetter/testssl.sh
解壓后進入目錄
./testssl.sh -W IP
如下圖
修復后
2 排查有問題的地方, ssl 、ssh、nginx、tomcat等等軟件。
2.1 檢查ssl支持的加密算法有沒有des算法
openssl ciphers -v
2.2 檢查nginx
對nginx 進行加固,我這里nginx 本身版本並沒問題,是編譯的時候ssl版本低
cd ../nginx-1.20.1/
./configure --prefix=/usr/local/nginx/ --with-http_ssl_module --with-http_stub_status_module --with-openssl=/usr/local/openssl-1.1.1l
這里記一個坑,nginx 改了好幾次都能測到這個漏洞。 后來在后面加了!3DES好了。服了。
檢查ssh
對ssh 進行加固
vim /etc/ssh/sshd_config 在末尾添加
vim /etc/ssh/ssh_config 找到下面這行,一般是注釋着呢, 取消注釋並刪除 des算法。
重啟ssh(重啟前記得先通過telnet建立連接哦)
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc
想用 nmap 檢測?
yum install nmap
nmap -sV --script ssl-enum-ciphers -p ip或域名
這里記一下域名與ip的坑,有一次遇到檢測ip沒問題,檢測域名就有問題,最后想起來有一次去客戶那里開會,客戶在外面又加了一層其他廠商的軟件,來防止數據被爬走,所以聯系了那個廠商修復此漏洞后再次掃描才沒問題。
修復后
