概述

在安装完成 centos7.4 系统启动 sshd 服务后，系统默认选择 CBC 的机密模式，在对安全要求比较高的生产环境中，一般是不允许 CBC 加密的，此时需要将 CBC 的加密方式修改为 CTR 或者 GCM。下面我们就操作一下如何将 centos7.4 环境下 sshd 默认的加密方式修改为 CTR.

第一步 修改配置文件

修改 sshd 的配置
vim /etc/ssh/sshd_config
找到这一行
# Ciphers and keying
在这一行下方增加一行
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
注意：Ciphers 第一个字母要大写

第二部 检查配置文件是否正确

检查配置文件是否正确
ssh -t
无异常即可

第三步 重启 sshd 服务

systemctl stop sshd.service
systemctl start sshd.service

第四步 检查加密方式是否正常

检查 cipher 配置是否正确
sshd -T | grep "\(ciphers\|macs\|kexalgorithms\)"

用 ssh 测试连接，查看是否使用 ctr 算法
ssh -vv localhost ciphers listed
检查这两项是否正常
debug2: ciphers ctos:
debug2: ciphers stoc:

第五步 用 CRT 连接测试

CRT 新建一个 ssh 会话，如果您的 CRT 的版本低于 6.0 以下.此时应该连接不上服务器。需要升级 CRT，（本人使用的是 CRT8.1 网上有破解版）