centos 7漏扫ssh弱加密密钥算法的解决方法

现象说明:因服务器需要通过等保2.0三级标准,通过漏扫工具得出centos 7存在ssh弱密钥算法存在高风险问题。

实验环境说明:该环境仿真服务器操作系统版本,使用VM虚拟机模拟真实环境测试。

重要的事情说三遍:该操作有风险,请确保远程连接服务器的方式有多种(或开启 telnet服务 ),以防ssh服务断开或启动失败造成连接不上!!!

重要的事情说三遍:该操作有风险,请确保远程连接服务器的方式有多种(或开启 telnet服务 ),以防ssh服务断开或启动失败造成连接不上!!!

重要的事情说三遍:该操作有风险,请确保远程连接服务器的方式有多种(或开启 telnet服务 ),以防ssh服务断开或启动失败造成连接不上!!!

  1. 操作系统版本
cat /etc/redhat-release

centos SSH 服务支持弱加密算法 ssh弱加密算法漏洞_启动失败

  1. 查看ssh版本
ssh -V

centos SSH 服务支持弱加密算法 ssh弱加密算法漏洞_centos_02

  1. 修改ssh的配置文件(请确保SSH服务如果断开后是否能通过其他方式连接到服务器)
vi /etc/ssh/sshd_config
  1. 添加漏扫方给出解决命令
KexAlgorithms ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521
  1. 重启服务检查状态
systemctl restart sshd     //重启ssh服务
systemctl status sshd     //查看服务状态

centos SSH 服务支持弱加密算法 ssh弱加密算法漏洞_服务器_03

  1. 以上发现服务启动失败,检查启动失败原因
sshd -t

centos SSH 服务支持弱加密算法 ssh弱加密算法漏洞_重启_04

注:提示24行有报错信息

  1. 检查配置文件24行
vi /etc/ssh/sshd_config   //在vi命令模式下输入set nu回车显示行号

centos SSH 服务支持弱加密算法 ssh弱加密算法漏洞_ssh_05

注:发现问题原因在我们新增加的内容,通过不断尝试发现该版本不支持后面的算法。

  1. 修改添加以下命令
KexAlgorithms ecdh-sha2-nistp256
  1. 重启服务检查状态
systemctl restart sshd     //重启ssh服务
systemctl status sshd     //查看服务状态

centos SSH 服务支持弱加密算法 ssh弱加密算法漏洞_centos_06

  1. 测试连接

注:通过ssh连接正常。

  1. 漏扫测试

说明:通过漏扫方重新扫描后发现该高危风险消失,问题解决。