如何识别与linux redhat apache webserver的活动 https连接的密码强度。我希望通过删除低强度密码来强化我的Web服务器,并希望检查客户端是否使用它们。
EDIT 我的目标是避免删除客户端依赖的较低安全密码的负面影响。最糟糕的情况是有一个愚蠢的非浏览器(或旧浏览器)应用程序使用旧的不安全密码,当我不允许使用这个密码他/她的应用程序可能会破坏。我正在尝试主动识别是否有任何应用程序/浏览器使用我要禁用的任何密码。
答案 0 :(得分:1)
您的问题和目标不一定相关。每个活动连接可以使用基于以下组合的差分密码:(a)服务器上的能力(b)客户端的能力(c)服务器和客户端的密码偏好。查看任何单个连接都不会告诉您SSL配置是否最佳。
如果你的目标是强化你的SSL配置,我建议你使用 来自SSL实验室的SSL Server Test。它根据已知的SSL漏洞和最佳实践对您的服务器配置进行评级。
上次更新我的SSL配置时,我使用了此博文中的configuration tips。请注意,对SSL漏洞的理解不断变化,因此我建议您每隔一段时间重新运行一次测试,以确保您的配置是目前已知的最佳配置。
答案 1 :(得分:0)
您可以通过在mod_ssl上启用适当级别的日志记录来识别不成功的握手。请参阅http://httpd.apache.org/docs/2.2/mod/mod_ssl.html上的自定义日志格式部分,特别是
CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
这使您可以创建客户端请求的密码列表并相应地配置Apache。