使用 Apache 在 Centos 中禁用弱協議和密碼
任何人都可以幫我確定帽子可能是我仍然從掃描器中獲得 VA 間隙的原因嗎?我的伺服器託管多個 Web 應用程序,但我對所有虛擬主機使用相同的設置。
20007 - SSL 版本 2 和 3 協議檢測
注意: SSLEngine 和 SSLHonorCipherOrder 都已打開。
這是針對協議的。全部禁用,僅啟用 TLS 版本 1.1 和 1.2,但是,掃描器仍檢測 SSL v3
SSLProtocol -全部 +TLSv1.1 +TLSv1.2
我也嘗試過這種方式:
SSLProtocol all -SSLv2 -SSLv3
我已嘗試測試以下內容: openssl s_client -connect localhost:443 -ssl2 -> 握手失敗(沒關係) openssl s_client -connect localhost:443 -ssl3 -> 這有效,但不知道為什麼,因為這已被所有人禁用vHosts(設置和上面的一樣)
===============
其他 2 個漏洞:
42873 - 支持 SSL 中等強度密碼套件 以下是遠端伺服器支持的中等強度 SSL 密碼列表: EDH-RSA-DES-CBC3-SHA Kx=DH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 ECDHE -RSA-DES-CBC3-SHA Kx=ECDH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 DES-CBC3-SHA Kx=RSA Au=RSA Enc=3DES-CBC(168) Mac=SHA1
65821 - SSL RC4 Cipher Suites Supported (Bar Mitzvah) 遠端伺服器支持的 RC4 密碼套件列表:ECDHE-RSA-RC4-SHA Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1 RC4-MD5 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5 RC4-SHA Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
這是密碼套件。我已將掃描器中找到的所有密碼都標記為粗體,並且它們都已在我的配置中被禁用,但它們仍然在掃描期間出現:
SSLCipherSuite “EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256!EECD + EHD + ECD!3DES!MD5!Exp!PSK!SRP!DSS !EDH-RSA-DES-CBC3-SHA !ECDHE-RSA-DES-CBC3-SHA !DES-CBC3-SHA !ECDHE-RSA-RC4-SHA !!! RC4-SHA “
注意:根據檢查,我擁有的 httpd 版本的更改日誌不包括上述差距的 CVE。我也知道每次配置更改後都需要重新啟動 httpd。
如果你們有任何建議,請告訴我,我可能會遺漏一些東西。謝謝。
為麻煩道歉。我的隊友發現以下行也應該在 /etc/httpd/conf.d/ssl.conf 中更新:
SSLProtocol -all -TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
SSLCipherSuite “EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256!EECD + EHD + ECD!3DES!MD5!Exp!PSK!SRP!DSS !EDH-RSA-DES-CBC3-SHA!ECDHE-RSA-DES-CBC3-SHA!DES-CBC3-SHA!ECDHE-RSA-RC4-SHA!!RC4-SHA“
更新後,它會清除安全掃描結果。