使用绿盟漏扫设备rsas经常可以在ssh服务端口扫描到"SSH 支持弱加密算法漏洞 【原理扫描】",可以端口banner处看到探测到的弱加密算法

一般不是误报，如果想验证漏洞，可以使用namp进行验证，漏洞描述与验证具体如下:

 

一、漏洞描述
SSH的配置文件中加密算法没有指定，默认支持所有加密算法，包括arcfour,arcfour128,arcfour256等弱加密算法。
这个漏洞属于SSH的配置缺陷，SSH服务启用了Arcfour （也称RC4）这个不安全算法。

二、漏洞验证
使用 nmap 进行验证

nmap --script ssh2-enum-algos -sV -p 22 xx.xx.xx.xx

结果如下，可以看到22端口使用了arcfour、arcfour128、arcfour256 等弱加密算法，漏洞存在。

 

三、漏洞修复

方案一：修改 SSH 配置文件，添加加密算法：

vi /etc/ssh/sshd_config

最后添加一下内容（去掉 arcfour、arcfour128、arcfour256 等弱加密算法）

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc

保存文件后重启 SSH 服务

service sshd restart

 使用nmap再次验证:

nmap --script ssh2-enum-algos -sV -p 22 xx.xx.xx.xx

　

 可以看到已不支持 arcfour,arcfour128,arcfour256等弱加密算法，漏洞修复。

方案二：升级 openssh 版本为最新版本

官网有说明，Openssh 7.0以后的默认版本禁用了一些比较低版本的密钥算法。

我这次遇到的是ubuntu自带的openssh，所以并未采用升级版本的方法。

 

注:SSH Weak MAC Algorithms Enabled 漏洞修复使用同样的方式，在/etc/ssh/sshd_config文件末尾添加以下行：

MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160