云计算运维

Windows Server 2003 - Windows Server 2019 系统工具,Linux系统脚本,Mysql、Nginx、PHP、Redis、K8S、Seafile、Weblogic 、Jenkins、DNS、DHCP、FTP、IIS、Zookeeper、Rabbitmq、Oracle、Tomcat、Mavrn等服务搭建维护,请关注我.

SSH服务器配置去除不安全的CBC算法,修改加密方式为CTR


概述
在安装完成 centos7.4 系统启动 sshd 服务后,系统默认选择 CBC 的机密模式,在对安全要求比较高的生产环境中,一般是不允许 CBC 加密的,此时需要将 CBC 的加密方式修改为 CTR 或者 GCM。下面我们就操作一下如何将 centos7.4 环境下 sshd 默认的加密方式修改为 CTR.

第一步 修改配置文件
修改 sshd 的配置

vim /etc/ssh/sshd_config

找到这一行

Ciphers and keying

在这一行下方增加一行
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
注意:Ciphers 第一个字母要大写

第二部 检查配置文件是否正确
检查配置文件是否正确

ssh -t

无异常即可

第三步 重启 sshd 服务

systemctl stop sshd.service
systemctl start sshd.service

第四步 检查加密方式是否正常
检查 cipher 配置是否正确

sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"

用 ssh 测试连接,查看是否使用 ctr 算法

ssh -vv localhost ciphers listed

检查这两项是否正常
debug2: ciphers ctos:
debug2: ciphers stoc:

第五步 用 CRT 连接测试
CRT 新建一个 ssh 会话,如果您的 CRT 的版本低于 6.0 以下.此时应该连接不上服务器。需要升级 CRT,(本人使用的是 CRT8.1 网上有破解版)

  • 分享:
评论
还没有评论
    发表评论 说点什么