Linux漏洞修复：SSH Weak Encryption Algorithms Supported|SSH弱加密算法漏洞

在做漏洞扫描时发现有个名为SSH Weak Encryption Algorithms Supporte基本覆盖了内网全面linux服务器，研究一番后，分享给大家

漏洞描述：
The following weak client-to-server encryption algorithms are supported by the remote service:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
blowfish-cbc
cast128-cbc

原因：
这是因为ssh通讯时默认使用的加密算法中有部分是不再安全的算法。
在SSH的配置文件中加密算法没有指定，所以默认支持所有加密算法，包括arcfour,arcfour128,arcfour256等弱加密算法。但是目前RC4是不安全算法

解决：
在/etc/ssh/sshd_config中显式指定ssh通讯时使用的加密算法手动指定加密算法，排除RC4

vi /etc/ssh/sshd_config

在最后一行添加

经测试，我这边修改为Ciphers aes128-ctr,aes192-ctr,aes256-ctr才可以

保存并重启sshd服务

service sshd restart

附：简单shell

#!/bin/bash

echo “##### SSH加密算法强度 #####”

if grep -q ‘Ciphers aes128-ctr,aes192-ctr,aes256-ctr’ /etc/ssh/ssh_config

then
printf “##### [SKIP] #####”
else
sed -i ‘$a Ciphers aes128-ctr,aes192-ctr,aes256-ctr’ /etc/ssh/sshd_config
service sshd restart
printf “##### [SUCCESS] #####”
fi