VNX：Qualsys scan 标记 QID 38739-弃用 SSH 加密设置（用户可更正）

此 QID 可能会标记多种可能的原因。扫描中可能会有具体的原因会阐明其启动原因。

可能会标记的第一个原因是因为 SSH 密码列表。默认情况下，某些版本的代码较早的 arcfour 和 blowfish 密码位于密码列表中。

如何检查和修改当前密码列表：
1. 到 root
2 的 su。运行以下命令：
grep-i cipher/etc/ssh/sshd_config
密码 aes128-cbc，3des-cbc，blowfish-cbc，cast128-cbc，arcfour128，arcfour256，arcfour，aes192-cbc，aes256-cbc，aes128-ctr，aes192-ctr，aes256-ctr
3. vi the the the the file and modify/etc/ssh/sshd_config 中的密码列表，以便仅保留基于 ctr 的密码。

您应该以如下所示的加密行结尾：
"密码 aes128-ctr"、"aes192"、"aes256"、"ctr" 或 "like"，

如果您希望仍支持基于 cbc 的密码，请执行以下操作：
密码 aes128-ctr、aes256-ctr、aes128-cbc、aes256-cbc

4. 保存文件，然后重新启动 sshd
/sbin/service vmware-vcops restart sshd 重新启动（

如果扫描调用了不受支持的密钥交换算法）：
通常，由于我们支持 diffie-hellman-QID-group1-sha1 作为 SSH 的密钥交换算法，扫描将在 VNX 上标记此 helman。在 VNX/VNX2 代码中，我们运行的较旧版本的 OpenSSH 不支持在当前时间修改密钥交换算法列表，因此无法删除 helman-group1-sha1，并且没有计划升级 OpenSSH 以允许支持（我们的 OpenSSH 版本中不存在 KexAlgorithms 选项）。在较新版本的 OpenSSH 中，可以在 sshd_conf 中设置它，以指定可使用的密钥交换算法。Helman-group1-sha1 在当前 SSH 中不存在任何已知漏洞，并且唯一的潜在问题是较小的1024位密钥大小。TLS 中存在已知的漏洞，涉及 helman-group1-sha1 （CVE-2015-4000），但在 httpd 中已被缓解。通过禁用导出密码而不应用 SSH 的方式来应对。

目前没有办法禁用 helman-group1-sha1 作为 SSH 的密钥交换算法，并且没有添加该功能的计划。它可以在客户端上受到限制，但无法在控制台的 SSH 服务器上禁用它。