我的yaws服务器暴露于poodlebleed漏洞,我想修改支持的密码以减少或消除风险。我已经尝试了许多基于密码手册页的密码字符串组合。每次尝试都会导致“Bad cipherspec”或“意外输入”。
在网上搜索了一个例子而没有找到任何例子,我希望你们中的一个人有一个他们可以分享的实际例子。虽然可能是操作员错误,但服务器正在运行erlang R16B-03.7.el7并且偏航1.98-2.el7。
答案 0 :(得分:1)
首先,虽然不能直接回答您的问题,但请注意,我最近使用新的SSL配置设置protocol_version增强了Yaws,它允许您完全取出SSLv3。这是Yaws master at github。要使用它,请在protocol_version配置块中设置ssl配置变量,如下所示:
<ssl>
protocol_version = tlsv1.2, tlsv1.1, tlsv1
</ssl>
如果您愿意升级,这可以帮助解决POODLE漏洞。
现在,回答您的问题:您使用包含Erlang术语的字符串设置密码,例如从the ssl:cipher_suites/0 function返回的术语。例如,如果我从交互式Yaws会话中调用此函数,我会得到:
1> ssl:cipher_suites().
[{ecdhe_ecdsa,aes_256_cbc,sha384},
{ecdhe_rsa,aes_256_cbc,sha384},
{ecdh_ecdsa,aes_256_cbc,sha384},
{ecdh_rsa,aes_256_cbc,sha384},
...
还有更多的输出,但我将其缩写为可以在这里看到的足以帮助回答你的问题。下面的示例将ciphers中的yaws.conf设置为上述输出中的前两个元组:
<ssl>
ciphers = "[{ecdhe_ecdsa,aes_256_cbc,sha384},{ecdhe_rsa,aes_256_cbc,sha384}]"
</ssl>
至于文档,Yaws conf man page中有一个这样的例子。