问题:
我正在研究一种仅在Apache HTTPD中为特定URL设置强密码的方法。文档显示该功能受支持,并且我可以对其进行配置。如何测试仅针对特定URL的强密码?我发现的所有推荐测试都在域/服务器级别执行。我尝试了ssllabs.com,命令行nmap,openssl。我对HTTPD中的密码和设置安全性还很陌生。是否不建议/不支持基于URL的强密码?有没有可以在URL级别检查的工具?我是否应该放弃在每个应用程序中使用强密码的想法,并在服务器级别使用它?
背景:
Apache HTTPD背后至少有十个不同的应用程序。迁移到整个服务器的强密码模型被认为是高风险,因为各种应用程序都有广泛的客户端。我们正在研究一种方法,一次启用一个应用程序/ URL的强密码,以便质量检查人员可以对每个应用程序/ URL进行强密码测试,并最大程度地降低风险。
设置:
OS: CentOS release 6.8 (Final)
HTTPD: Apache/2.2.15 (Unix)
与特定网址的强密码相关的文档在此处https://httpd.apache.org/docs/2.2/ssl/ssl_howto.html#strongurl
到目前为止,我已经使用以下工具来检查密码
www.ssllabs.com/ssltest
nmap --script ssl-enum-ciphers -p port host
openssl s_client -connect host:port
这是我在/etc/httpd/conf.d/ssl.conf中拥有的
<Location /myapp>
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
</Location>
我正在使用Mozilla SSL配置生成器为我们的Apache版本创建一个强大的密码模型。
https://ssl-config.mozilla.org/#server=apache&server-version=2.2.15&config=intermediate
答案 0 :(得分:0)
我正在研究一种仅在Apache HTTPD中为特定URL设置强密码的方法。
不能。 SSL密码在发送请求之前经过协商,因此请求的属性(如请求URL)不能用于选择密码。