Red de conocimiento informático - Problemas con los teléfonos móviles - Reparación de vulnerabilidad del algoritmo de cifrado débil SSHamp; SSL

Reparación de vulnerabilidad del algoritmo de cifrado débil SSHamp; SSL

1. SSH

El algoritmo de cifrado no está especificado en el archivo de configuración SSH. Todos los algoritmos de cifrado son compatibles de forma predeterminada, incluidos arcfour, arcfour128, arcfour256 y otros algoritmos de cifrado débiles.

Modifique el archivo de configuración SSH y agregue el algoritmo de cifrado:

vi /etc/ssh/sshd_config

Cifrados aes128-ctr, aes192-ctr, aes256- ctr, aes128-cbc, 3des-cbc

Finalmente agregue el siguiente contenido (elimine arcfour, arcfour128, arcfour256 y otros algoritmos de cifrado débiles):

ssh_config y sshd_config son archivos de configuración de el servidor ssh. La diferencia entre los dos es que el primero es un archivo de configuración para el cliente y el segundo es un archivo de configuración para el servidor.

Reinicie el servicio SSH después de guardar el archivo:

reinicio del servicio sshd o reinicio del servicio ssh

Verificación

ssh -vv - oCiphers= aes128-cbc, 3des-cbc, Blowfish-cbc lt;servergt;

ssh -vv -oMACs=hmac-md5 lt;servergt;

2. SSL

Modifique los parámetros de cifrado SSL en el archivo de configuración SSL

1. Deshabilite el servidor Apache para que no utilice el algoritmo de cifrado RC4

vi /etc/httpd/conf.d/ ssl.conf

Modificar a la siguiente configuración

SSLCipherSuite HIGH: MEDIUM:!aNULL:!MD5:!RC4

Reiniciar el servicio apache

2. Acerca del algoritmo de cifrado nginx

Para las versiones 1.0.5 y posteriores, el algoritmo de cifrado SSL predeterminado es HIGH:!aNULL:!MD5

Para las versiones 0.7.65, 0.8.20 y posteriores, el algoritmo de cifrado SSL predeterminado es ALTO:!ADH:!MD5

Versión 0.8.19, el algoritmo de contraseña SSL predeterminado es TODO:!ADH: RC4 RSA: ALTO: MEDIO

0.7.64, 0.8.18 y versiones anteriores, el algoritmo de contraseña SSL predeterminado es TODO: ADH: RC4 RSA: ALTO: MEDIO: BAJO: SSLv2: EXP

Para versiones inferiores de nginx o aquellos sin comentarios, puede modificar directamente la configuración relacionada con SSL bajo el nombre de dominio como

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE -RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE -RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES

256-SHA :ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA -AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA :EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC

M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3 -SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5: !PSK:!RC4";

ssl_prefer_server_ciphers activado;

se requiere el servicio de recarga nginx

上篇: win10 no se puede actualizar 下篇:

Artículos populares