我正在对我们已经做过的一些渗透测试进行补救。
渗透测试报告由于启用 SSv3 而存在 POODLE 漏洞。
但是,在我的 httpd.conf 的 VirtualHost 定义中,我有:
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
显然,我在上面的 SSLProtocol 行中有 -SSLv3,并且我读过的所有内容都表明,如果我禁用 SSLv3,就不会受到 POODLE 攻击。
但是我尝试了 Qualys 在线 SSL 测试器和“ssl-poodle”nmap 脚本,它们都告诉我我仍然容易受到攻击。
帮助?
有人能解释一下我在这里错过了什么吗?
谢谢!
更新:这是在 Oracle Linux 7.3 上,带有 Apache/2.4.6
答案1
好的,我明白了。虽然我的文件中的SSLProtocol每个VirtualHost定义都有正确的语句/etc/httpd/conf/httpd.conf,但它显然在 中的默认VirtualHost定义中是必需的/etc/httpd/conf.d/ssl.conf。
一旦我将它添加到 ssl.conf,它就开始工作了。