SSH服務被弱點掃描檢測出「SSH Server CBC Mode Ciphers Enabled」如何改善

相信越來越多單位被要求進行弱點掃描,而在Linux主機上常見的SSH弱點是「SSH Server CBC Mode Ciphers Enabled」,小編今天就來分享一下如何排除這個弱點。

弱點掃描影響說明:
https://www.tenable.com/plugins/nessus/70658

[範例情境]
01、作業系統為FreeBSD 12.2-RELEASE-p7
02、SSH版本為OpenSSH_7.9p1

[操作步驟]
01、檢測SSH Server目前的設定
指令語法:
sshd -T |grep ciphers

02、變更設定
(1)、編輯設定檔
指令語法:

vi /etc/ssh/sshd_config

(2)、修改設定參數
新增下列設定值
Ciphers aes128-ctr,aes192-ctr,aes256-ctr

03、重新啟動SSH服務
指令語法:
/etc/rc.d/sshd restart

04、重新檢測SSH Server設定
指令語法:
sshd -T |grep ciphers