在最近我们在服务器上进行的安全扫描中,我们收到了以下评论:
通常,对于Apache / mod_ssl,httpd.conf或ssl.conf应该包含以下行: SSLProtocol -ALL + SSLv3 + TLSv1 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4 + RSA:+ HIGH:+ MEDIUM
对于Apache / apache_ssl,在配置文件(httpsd.conf)中包含以下行: SSLRequireCipher ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4 + RSA:+ HIGH:+ MEDIUM
mod_ssl.conf文件已按说明更新 使用以下行更新apache2.con:
SSLRequireCipher ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
重新启动Apache2,我得到:
无效命令'SSLRequireCipher',可能拼写错误或由a定义 模块未包含在服务器配置中
我在apache2.conf中尝试了这一行:
SSLRequire%{SSL_CIPHER_USEKEYSIZE}> = 128
并且Apache2成功重启,但重新运行扫描我得到了相同的结果: SSL服务器允许匿名身份验证漏洞
答案 0 :(得分:0)
如果您需要服务器的特定部分,请尝试使用SSLCipherSuite进行常规配置,并SSLRequire使用%{SSL_CIPHER}上的正则表达式。
修改
如果您在Ubuntu上运行,/etc/apache2/mods-enabled/ssl.conf中的默认配置应该可以解决您的问题:
SSLCipherSuite HIGH:MEDIUM:!ADH
SSLProtocol all -SSLv2