本文最后更新于 499 天前，其中的信息可能已经有所发展或是发生改变。

Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞（CVE-2002-20001）

由于低版本的OpenSSH使用了过时不安全的加密算法协议，通常OpenSSH在版本迭代更新时会弃用这些不安全的加密算法。如果我们仍要继续使用旧版本的OpenSSH，可以根据实际情况，考虑屏蔽掉不安全的加密算法，以降低安全风险.

查看Kexalgorithms

此举操作是确认客户端支持的kexalgorithms

[root@cntf1 ~]# ssh -Q kex
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
curve25519-sha256@libssh.org

查看服务端支持的kexalgorithms

sshd -T | grep -w kexalgorithms

centos6.5

echo "KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521" >> /etc/ssh/sshd_config
service sshd restart

centos7

echo "KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521" >> /etc/ssh/sshd_config
systemctl restart sshd
sshd -T | grep -w kexalgorithms

验证

未禁用diffie-hellman算法之前，可用正常使用ssh连接登录

禁用了diffie-hellman算法之后，带上被禁用的密钥算法登录，显示不能正常使用ssh登录

ssh -v -oKexAlgorithms=diffie-hellman-group1-sha1 root@192.168.111.156

下面是直接正常ssh登录，不带任何加密算法，发现是可用正常使用ssh登录

ssh -v root@192.168.111.156

参考：https://www.cnblogs.com/autopwn/p/16363160.html

发送评论编辑评论