我在Amazon Linux服务器上进行了nessus扫描,结果显示为 “支持SSL中强度密码套件”。
我已经在/etc/httpd/ssl.conf
中修改了以下设置SSLProtocol -ALL -TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
SSLProxyProtocol all -SSlv2 -SSLv3
SSLHonorCipherOrder on
#SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 !EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH-RSA-DES-CBC3-SHA !ECDHE-RSA-DES-CBC3-SHA !DES-CBC3-SHA !ECDHE-RSA-RC4-SHA !RC4-MD5 !RC4-SHA"
我已经重新启动了httpd服务并重新运行了nessus扫描。上面对ssl.cof所做的更改无效。扫描再次得出以下结果,
SSL版本2和3协议检测SSL中强度密码
受支持的SSL RC4密码套件(成年礼吧)
我怀疑我是否还需要对openssl配置进行一些更改。如果是,我应该在哪里以及如何配置Openssl密码套件?
我已验证自己正在更改正确的ssl.conf。
任何帮助将不胜感激。
答案 0 :(得分:0)
请如下配置您的ssl.conf文件:
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!3DES
重启httpd服务后:service httpd restart
可以根据您的tcp端口显示“支持SSL中强度密码套件”漏洞。
如果您在tcp / 443端口上看到此漏洞,则应在进行上面的配置后解决。否则,您可以在openDJ使用的tcp / 4444端口或类似的端口上看到它。
在这种情况下,请从Java安全路径下的旧算法列表中删除 3DES 。
<java-home>/lib/security/java.security
文件,然后从 jdk.tls.legacyAlgorithms 中删除 3DES_EDE_CBC
安全属性。<java-home>/conf/security/java.security文件,然后
从 jdk.tls.legacyAlgorithms 安全性中删除 3DES_EDE_CBC
财产。答案 1 :(得分:0)
SSL加固不是一个容易的话题,但是在线上有很多好的资源。我建议您阅读如何通过以下链接加强Apache的安全性:https://cipherli.st/
该网站为您提供了一个现成的安全配置,它不只是密码套件,而且如果您想了解它,还可以为您提供有关此密码的更多信息。
例如,对于Apache,建议为:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off
第一行是推荐的密码套件。他们在https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html
上提供了此配置的描述完成后,请不要忘记重新加载apache配置!