OpenSSH是一种开放源码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类 *** 作系统下。如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多高枝32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^{-18}, 此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14}。
编辑ssh配置文件
在 # Ciphers and keying 下或者 文件的末尾 添加下文
重启SSH服圆举务使配置生效
使用SSH针对CBC分组类型的加密算法进行检查
屏幕打印的日志的最后一行:
出现 no matching cipher found: client aes128-cbc,3des-cbc … 说明配置生效。(此时的SSH登录并未成功)
查橘念碧看默认SSH支持加密算法分组类型
低
OpenSSH是一种开放源码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类 *** 作系统下。如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^{-18} ,此外另一种攻击变种恢复14位纯文本的成功概率为2^{-14}。
使用漏洞扫描工具进行检测
(※注:在修改前请注意备份尺纯文件,或对虚拟机创建快照。以便 *** 作出现意外时进行系统恢复。)
找到例子中26行中拆樱 The default is: 下的内容,去除 -cbc 结尾的加密算法(此处请根据自身SSH版本加陵御咐密修改,理论适用于所有SSH)。
共统计出6种加密方式,并对统计进行编排,以逗号相隔,并在头部添加 Ciphers 存处于 /etc/ssh/sshd_config 末尾即可,如图所示。
修复完成,可使用漏洞扫描工具复测。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)