SSH&SSL弱加密算法漏洞修复

一、SSH
SSH的配置文件中加密算法没有指定，默认支持所有加密算法，包括arcfour,arcfour128,arcfour256等弱加密算法。
修改SSH配置文件，添加加密算法：
vi /etc/ssh/sshd_config最后面添加以下内容（去掉arcfour,arcfour128,arcfour256等弱加密算法）：Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于，前者是针对客户端的配置文件，后者则是针对服务端的配置文件。
保存文件后重启SSH服务：service sshd restart   or  service ssh restart
验证ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>ssh -vv -oMACs=hmac-md5 <server>
参考信息：http://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/
使用Nmap验证：nmap --script "ssh2*" 45.76.186.62
已不支持arcfour,arcfour128,arcfour256等弱加密算法。
SSH Weak MAC Algorithms Enabled 漏洞修复使用同样的方式，添加以下行：MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160
二、SSL
修改SSL配置文件中的的SSL Cipher参数
不同Web服务软件的配置文件位置及参数名称不同，需根据实际情况查找。具体安全算法配置可参考此网站：https://cipherli.st/
如Apache修改以下内容：
修改前后支持的加密算法对比：nmap -p 443 --script "ssl-enum-ciphers"  xx.xx.xx.xx
作者：Shad0wpf链接：http://www.jianshu.com/p/24612e17ddc4來源：简书著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。