刚刚从 Tenable Nessus 扫描得到结果,显示 RHEL 7.5 主机容易受到 TCP 端口 443 上的插件 42873:“支持 SSL 中等强度密码套件 (SWEET32)”的攻击。
Tenable Nessus 报告详细介绍如下:
Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES)
Name Code KEX Auth Encryption MAC
---------------------- ---------- --- ---- --------------------- ---
EDH-RSA-DES-CBC3-SHA 0x00, 0x16 DH RSA 3DES-CBC(168) SHA1
ECDHE-RSA-DES-CBC3-SHA 0xC0, 0x12 ECDH RSA 3DES-CBC(168) SHA1
DES-CBC3-SHA 0x00, 0x0A RSA RSA 3DES-CBC(168) SHA1
The fields above are :
{Tenable ciphername}
{Cipher ID code}
Kex={key exchange}
Auth={authentication}
Encrypt={symmetric encryption method}
MAC={message authentication code}
{export flag}
所以我使用命令“netstat -tulnp”检查该主机以获取源,如下所示:
tcp6 0 0 :::443 :::* LISTEN 67529/httpd
“ps 67529”的输出表明目标来自这里:
PID TTY STAT TIME COMMAND
67529 ? Ss 0:00 /usr/sbin/httpd -DFOREGROUND
下面列出了 httpd 的版本,从“httpd -v”获取:
Server version: Apache/2.4.6 (CentOS)
为了解决这个漏洞,我编辑了/etc/httpd/conf.d/ssl.conf文件并确保以下参数确实存在,并最终重新启动httpd以应用更改:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA
SSLHonorCipherOrder on
然而,再次使用Tenable Nessus扫描后,报告仍然显示此漏洞插件42873!有人可以帮忙吗?不确定应该编辑哪个位置来处理 ssl 密码的内容。
如果有任何提示,谢谢。
答案1
最后,我编辑了“SSLCipherSuite”的内容如下:
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
并将“SSLHonorCipherOrder”更改为off
.
问题解决了。
感谢@Steffen Ullrich 的提示!!!