Как мне настроить xcat, чтобы не использовать слабые шифры?

Question

Как мне настроить xcat, чтобы не использовать слабые шифры?

Мой сканер уязвимостей имеет проблемы с конфигурацией SSL в службе xcatd, работающей на порту 3001. Сканер может устанавливать следующие соединения:

Medium Strength Ciphers (>= 56-bit and < 112-bit key)

SSLv3 DES-CBC-SHA Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1
TLSv1 DES-CBC-SHA Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1

The fields above are : {OpenSSL ciphername} Kx={key exchange} Au={authentication} Enc={symmetric encryption method} Mac={message authentication code} {export flag}

Это справочная хорошая конфигурация для популярного веб-сервера, но я не уверен, как перевести его на xcat:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

1

ssl

Источник

Leons 15 окт '13 в 20:03

1 ответ

Другие вопросы по тегам ssl

Leons 15 окт '13 в 20:41 2013-10-15 20:41 · Answer 1 · 2013-10-15 20:41

Параметр конфигурации xcat xcatsslciphers соответствует параметру конфигурации IO::Socket::SSL SSL_Cipher_list, который принимает те же входные данные, что и директива SSLCipherSuite в Apache.

sudo sqlite3 /etc/xcat/site.sqlite

insert into site (key, value) VALUES ('xcatsslciphers', 'ALL:!ADH:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM');

Затем вы можете проверить значение конфигурации следующим образом:

select * from site order by key;
.exit

Перезапустите xcat:

sudo service xcatd restart

Проверьте безопасность:

openssl s_client -connect localhost:3001 -cipher DES-CBC-SHA -tls1

Вы не должны видеть, что сертификат подходит.