使用 WHM/cPanel 禁用特定密码套件 Apache

使用 WHM/cPanel 禁用特定密码套件 Apache

我们正在运行一些安装了 WHM/cPanel 的 Web 服务器,以便我们可以轻松管理我们的网站和项目。为了确保我们的信息和用户信息的安全,我们一直在进行一些安全测试。我们所有的服务器目前都支持匿名密码套件;具体来说:

TLS_ECDH_anon_WITH_RC4_128_SHA (0xc016)
TLS_ECDH_anon_WITH_AES_128_CBC_SHA (0xc018)
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA (0xc017)
                 and
TLS_ECDH_anon_WITH_AES_256_CBC_SHA (0xc019) 

在不扰乱我们的网站的情况下禁用这些功能的最佳方法是什么?

答案1

要通过 WHM 将这些指令添加到 Apache,您可以通过以下方式添加它们:

Apache 配置 > 包含编辑器 > 预主包含

当然,由于 Poodle 出现了新问题并禁用了 SSL v3,您可能希望这样做:

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

不过,我相信你可能还需要更新 SSL 密码套件设置

Apache 配置 > 全局配置 > SSL 密码套件

像这样:

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH:!aNULL

当然,当我更新我的服务器以禁用 SSLv3 并禁用允许匿名身份验证的密码时,单独执行第一位仍然显示我的服务器报告它们可用,但执行第二部分也修复了这个问题。

答案2

当我查看 WHM > 服务配置 > Apache 配置 > 全局配置 > SSL 密码套件时,我发现该条目允许较旧的 SSL 协议。只需选择默认单选按钮并重建配置文件并重新启动 Apache 服务器似乎足以强制使用四种安全协议,从而消除以橙色显示的协议。

我通过运行安全工具判断了这一点https://sslanalyzer.comodoca.com/在我的网站上。

我希望在 WHM 中指定的安全规范更简单并且更不容易出错。

使用 WHM,我喜欢选择默认选择,除非我有充分的理由指定不同的东西。

答案3

最简单的方法是编辑 Apache 配置文件并更改一些 SSL 指令。

通常你可以通过更改指令来实现SSLCipherSuite。这个话题在 StackExchange 上讨论过几次,例如:“最佳” Web 服务器 SSL 密码套件配置

另请参阅Apache 的 SSL 配置更多细节。

我希望它能有所帮助。

编辑:

示例性的强化配置如下所示:

SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

然而,请记住根据您的需要进行调整。

答案4

我建议你禁用SSL2SSL3并启用TLS

对于 WHM=> Apache 配置 => 包含编辑器 => Pre Main Include

并选择所有版本

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

毕竟重启 Apache

如果仍然无法正常支持,那么我建议您通过以下方式重建 Apache易用型

相关内容