1、簡述
OpenSSH 是一種開放源代碼的SSH協議的實現,初始版本用於OpenBSD平台,現在已經被移植到多種Unix/Linux類操作系統下,系統默認會選擇CBC的加密模式。
OpenSSH沒有正確的處理分組密碼加密算法的SSH會話所出現的錯誤,當在密碼塊鏈接 (CBC) 模式下使用塊密碼算法時,使遠程攻擊者更容易通過未知向量從SSH會話中的任意密文塊中恢復某些明文數據。
2、查看加密算法
我們可以查看目前sshd支持的加密算法:man ssh_config
首先查看當前加密算法都有哪些
使用nmap
nmap --script "ssh2*" ip地址我們會看到當前系統默認支持的所有加密算法,包括弱加密算法
3、解決
處理辦法是在sshd_config中指定加密算法,把默認的CBC加密模式改成CTR,然后重啟sshd服務
[root@localhost ~]# echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' >> /etc/ssh/sshd_config
[root@localhost ~]# systemctl restart sshd再查看一下目前系統支持的加密算法
