ssh如何查看当前支持加密算法和mac算法，以及如何禁用弱加密和弱mac算法

2023-9-28 09:27| 发布者: 金色田野的灿烂| 查看: 476| 评论: 0|来自: https://www.cnblogs.com/zcg-cpdd/p/15557981.html

类目： I.MX6系列产品 > Linux 文档编号: 1142

弱加密算法：

弱MAC算法：

MD5（Message Digest 5）：曾经用于SSH的MAC算法之一，但由于其容易受到碰撞攻击的漏洞而不再被视为安全。
SHA-1（Secure Hash Algorithm 1）：类似于MD5，曾经用于SSH的MAC算法之一，但由于碰撞攻击和漏洞的问题，也不再被认为是足够安全的选项。

这些算法在过去可能曾用于SSH通信，但随着时间的推移，由于漏洞和计算能力的提高，它们不再被认为是足够安全的选择。因此，现代的SSH配置会更倾向于使用更安全的加密和MAC算法，如AES和SHA-256等。

首先，打开服务端，客户端执行以下操作，来检索服务端支持的加密算法和mac算法

这里我的打印信息里没有若加密的算法，如果输出的有弱加密常见的有arcfour、arcfour128、arcfour256 等弱加密算法。

方法一、修改sshd_config文件，添加加密算法

vi /etc/ssh/sshd_config

最后添加一下内容（去掉 arcfour、arcfour128、arcfour256 等弱加密算法），以下是重新设置的加密算法，这个算法里把这几个弱加密去掉了。

	Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc

   重启sshd服务就可以了，再次nmap扫描验证。

方法二、升级 openssh 版本为最新版本

官网有说明，Openssh 7.0以后的默认版本禁用了一些比较低版本的密钥算法。

因为我使用的是openssh7.7p1，所以没有弱加密算法。

！！！ SSH Weak MAC Algorithms Enabled 漏洞修复使用同样的方式，在/etc/ssh/sshd_config文件末尾添加以下行：

	MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160

   sshd_config明确写了哪个算法就会有哪个算法，并不是注释掉的意思。

上一篇：linux4.1.15修改调试串口下一篇：如何在linux中查看4G模块当前的型号