取消
显示结果 
搜索替代 
您的意思是: 
cancel
6890
查看次数
60
有帮助
1
评论
fortune
VIP Alumni
VIP Alumni
去年有个项目有两台Nexus 9000交换机,设备比较简单,项目需要升级,然后升级软件版本为7.0(3),升级完用SSH 登录死活登录不上去,一直报错“no matching cipher found” ,奇怪了,换了两台电脑还是故障依旧,于是乎只能谷歌了,一堆搜索之后找到一篇解决方案:
[url=]问题[/url] 升级IOS到7.0(3)I2(1)后,无法对SSH到连结9000并且收到此错误:
no matching cipher found: client aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se server aes128-ctr,aes192-ctr,aes256-ctr
问题说明- SSH服务器CBC模式密码器已启用漏洞(SSH服务器CBC启用的模式密码器)
SSH服务器配置支持密码链块(CBC)加密。这也许允许攻击者从密文恢复明文消息。注意此插件只检查SSH服务器的选项,并且不检查易受攻击软件版本。
推荐的解决方案-禁用CBC模式密码器加密和Enable计数器(CTR)模式或者Galois/计数器模式(GCM)密码器模式加密
临时选项1. SSH密码器模式弱命令(与NXOS 7.0(3)I4(6)或以上的联机)

  • 介绍通过Cisco Bug ID CSCvc71792 -请实现瘤允许弱密码器aes128-cbc,aes192-cbc,aes256-cbc。
  • 添加这些弱密码器的支持- aes128-cbc、aes192-cbc和aes256-cbc。
  • 仍有3DES CBC密码器的没有支持
! baseline: only strong Ciphers aes128-ctr,aes192-ctr,aes256-ctr allowed
9k# conf t
Enter configuration commands, one per line. End with CNTL/Z.
9k(config)# feature bash
9k(config)# run bash sudo grep -i cipher /isan/etc/dcos_sshd_config
#secure ciphers and MACs
#CSCun41202 : Disable weaker Ciphers and MACs
Ciphers aes128-ctr,aes192-ctr,aes256-ctr <<----- only strong ciphers
! enable the weak aes-cbc ciphers with NXOS command
! Note that weak cipher 3des-cbc is still disabled.
9k# conf t
Enter configuration commands, one per line. End with CNTL/Z.
9k(config)# ssh cipher-mode weak
9k(config)# end
!! verification:
9k# run bash sudo grep -i cipher /isan/etc/dcos_sshd_config
#secure ciphers and MACs
#CSCun41202 : Disable weaker Ciphers and MACs
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc <<---
! rollback: use the 'no' form of the command
9k# conf t
Enter configuration commands, one per line. End with CNTL/Z.
9k(config)# no ssh cipher-mode weak
9k(config)# end
数据中心的设备不是接触很多,就遇到过这一个坑,分享给大家看看有没有作用!

评论
bo chen
Spotlight
Spotlight
很实用的干货!{:2_35:}
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接