由于最近发现旧版 openssl 中存在漏洞,因此我必须升级它。
但是 Centos 存储库中没有最新版本...是否有一个可信赖的存储库可供我添加和升级?
需要最新版本的 openssl 1.0.1。我认为是1.0.1e_42.el6_7.4(适用于 CENTOS 6)如下所述:https://www.linuxos.pro/drown-attack-cve-2016-0800/。
有没有安全升级的方法(我不想乱搞制作/编译东西然后手动升级它)。
我是否也必须更新 apache、postfix 等服务的配置?
答案1
答案2
好的,我在 drownattack.com 上查找了有漏洞的服务器。
我看到了易受攻击的端口 - POP3、IMAP、443 等。现在我通过“yum update”更新到最新的 openssl - 它已经被修补(根据https://www.linuxos.pro/drown-attack-cve-2016-0800/): “openssl-1.0.1e-42.el6_7.4”。
要在我的服务(apache 和 postfix)上禁用 sslv2 - 以防万一:
我编辑了 httpd 的配置(/etc/httpd/conf.d/ssl.conf)并取消注释行“#SSLProtocols...”并对其进行了编辑:
SSLProtocol All -SSLv2 -SSLv3
测试它(重新启动apache之后):
openssl s_client -ssl2 -connect www.example.com:443
得到:
CONNECTED(00000003)
140313005905736:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:
所以它被禁用了。现在 postfix:编辑 /etc/postfix/main.cf 并在底部添加:
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3
测试了一下(重启postfix之后,例如POP3):
openssl s_client -connect x.x.x.x:110 -starttls pop3 -ssl2
得到
CONNECTED(00000003)
140110128891720:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:
并且它也已被禁用。
答案3
对于那些担心 Qualys SSLLabs 证书测试由于 DROWN 和 POODLE 而给出低于“A”的等级/评级的人来说,这些链接提供了最好的解决方法:
https://access.redhat.com/solutions/1232413
和
https://blog.qualys.com/ssllabs/2013/03/19/rc4-in-tls-is-broken-now-what#comment-8643
我在 EC2 实例中遇到了这个问题,在 AWS 技术人员的大力支持下,我发现你必须在每个 VirtualHost 指令以使其正常工作。
<VirtualHost *:443>
DocumentRoot ...
ServerName ...
ServerAlias ...
SSLEngine ON
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM \
EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 \
EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 \
EECDH EDH+aRSA \
!aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
SSLHonorCipherOrder on
SSLCertificateFile /etc/httpd/conf/ssl.crt/...
SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/...
SSLCACertificateFile /etc/httpd/conf/ssl.crt/...
ErrorLog logs/...
CustomLog logs/... combined
</VirtualHost>
每当发现新的漏洞或者您认为某些密码较弱等时,上述 SSLCipherSuite 值就应该更改。
定期测试您的 SSL 设置是一个好主意。
编辑:这是将 openssl 库升级到 1.0.1e_42.el6_7.4(适用于 CENTOS 6)的补充