Reparación de vulnerabilidad del algoritmo de cifrado débil SSHamp; SSL
1. SSH
El algoritmo de cifrado no está especificado en el archivo de configuración SSH. Todos los algoritmos de cifrado son compatibles de forma predeterminada, incluidos arcfour, arcfour128, arcfour256 y otros algoritmos de cifrado débiles.
Modifique el archivo de configuración SSH y agregue el algoritmo de cifrado:
vi /etc/ssh/sshd_config
Cifrados aes128-ctr, aes192-ctr, aes256- ctr, aes128-cbc, 3des-cbc
Finalmente agregue el siguiente contenido (elimine arcfour, arcfour128, arcfour256 y otros algoritmos de cifrado débiles):
ssh_config y sshd_config son archivos de configuración de el servidor ssh. La diferencia entre los dos es que el primero es un archivo de configuración para el cliente y el segundo es un archivo de configuración para el servidor.
Reinicie el servicio SSH después de guardar el archivo:
reinicio del servicio sshd o reinicio del servicio ssh
Verificación
ssh -vv - oCiphers= aes128-cbc, 3des-cbc, Blowfish-cbc lt;servergt;
ssh -vv -oMACs=hmac-md5 lt;servergt;
2. SSL
Modifique los parámetros de cifrado SSL en el archivo de configuración SSL
1. Deshabilite el servidor Apache para que no utilice el algoritmo de cifrado RC4
vi /etc/httpd/conf.d/ ssl.conf p>
Modificar a la siguiente configuración
SSLCipherSuite HIGH: MEDIUM:!aNULL:!MD5:!RC4
Reiniciar el servicio apache
2. Acerca del algoritmo de cifrado nginx
Para las versiones 1.0.5 y posteriores, el algoritmo de cifrado SSL predeterminado es HIGH:!aNULL:!MD5
Para las versiones 0.7.65, 0.8.20 y posteriores, el algoritmo de cifrado SSL predeterminado es ALTO:!ADH:!MD5
Versión 0.8.19, el algoritmo de contraseña SSL predeterminado es TODO:!ADH: RC4 RSA: ALTO: MEDIO
0.7.64, 0.8.18 y versiones anteriores, el algoritmo de contraseña SSL predeterminado es TODO: ADH: RC4 RSA: ALTO: MEDIO: BAJO: SSLv2: EXP
Para versiones inferiores de nginx o aquellos sin comentarios, puede modificar directamente la configuración relacionada con SSL bajo el nombre de dominio como
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE -RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE -RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA :ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA -AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA :EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3 -SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5: !PSK:!RC4";
ssl_prefer_server_ciphers activado;
se requiere el servicio de recarga nginx