一、SSH

SSH的配置文件中加密算法沒有指定，默認(rèn)支持所有加密算法，包括arcfour,arcfour128,arcfour256等弱加密算法。

修改SSH配置文件，添加加密算法：

vi /etc/ssh/sshd_config

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

最后面添加以下內(nèi)容（去掉arcfour,arcfour128,arcfour256等弱加密算法）：

ssh_config和sshd_config都是ssh服務(wù)器的配置文件，二者區(qū)別在于，前者是針對客戶端的配置文件，后者則是針對服務(wù)端的配置文件。

保存文件后重啟SSH服務(wù)：

service sshd restart or? service ssh restart

驗證

ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>

ssh -vv -oMACs=hmac-md5 <server>

二、SSL

修改SSL配置文件中的的SSL Cipher參數(shù)

1、禁止apache服務(wù)器使用RC4加密算法

vi /etc/httpd/conf.d/ssl.conf

修改為如下配置

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

重啟apache服務(wù)

2、關(guān)于nginx加密算法

1.0.5及以后版本，默認(rèn)SSL密碼算法是HIGH:!aNULL:!MD5

0.7.65、0.8.20及以后版本，默認(rèn)SSL密碼算法是HIGH:!ADH:!MD5

0.8.19版本，默認(rèn)SSL密碼算法是? ? ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM

0.7.64、0.8.18及以前版本，默認(rèn)SSL密碼算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

低版本的nginx或沒注釋的可以直接修改域名下ssl相關(guān)配置為

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES

256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC

M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_prefer_server_ciphers on;

需要nginx重新加載服務(wù)