SSH的配置檔案中加密演算法沒有指定，預設支援所有加密演算法，包括arcfour,arcfour128,arcfour256等弱加密演算法。但是目前RC4是不安全演算法

1、#root許可權使用者才能執行
[root@zhjlrac2 ~]# ls -l /etc/ssh/sshd_config
-rw------- 1 root root 3717 Feb 4 2021 /etc/ssh/sshd_config

2、#備份
[root@zhjlrac2 ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
[root@zhjlrac2 ~]# ls -l /etc/ssh/sshd_config.bak
-rw------- 1 root root 3717 Aug 24 15:04 /etc/ssh/sshd_config.bak

3、#修改
/*
#新增下面一行，遮蔽弱加密演算法，最後新增一下內容（去掉 arcfour arcfour128 arcfour256 等弱加密演算法）
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc
#ssh_config和sshd_config都是ssh伺服器的配置檔案，二者區別在於，前者是針對客戶端的配置檔案，後者則是針對服務端的配置檔案。
*/
[root@zhjlrac2 ~]# vi /etc/ssh/sshd_config
#新增一行
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc

4、#更新之後檢查，直接返回無異常則可以重啟
[root@zhjlrac2 ~]# sshd -t
/etc/ssh/sshd_config line 113: Bad yes/no argument: sandbox
#將113 行註釋掉，否則可能重啟失敗
[root@zhjlrac2 ~]# vi /etc/ssh/sshd_config

#正常了
[root@zhjlrac2 ~]# sshd -t

5、#儲存重啟生效
[root@zhjlrac2 ~]# /etc/init.d/sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]
[root@zhjlrac2 ~]# exit
logout

6、#退出root，普通使用者驗證
/* 多種驗證方式
nmap 、Nessus 等工具可以進行驗證，這裡用 ssh 登陸驗證，nmap更直觀
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc 伺服器ip
ssh -vv -oMACs=hmac-md5 伺服器ip
nmap --script ssh2-enum-algos -sV -p 22 172.24.20.10
ssh -vv -oCiphers=aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc [email protected]
*/
也可如下 arcfour128 無法登陸就可以了
ssh -vv -oCiphers=arcfour128 [email protected]
...
debug2: kex_parse_kexinit: reserved 0
no matching cipher found: client arcfour128 server aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc