根据:公告:Pound - 反向代理和负载均衡器 - v2.7d / Robert Segall,添加了以下增强功能:
- added "Disable PROTO" directives (fix for Poodle vulnerability)
我的系统:
[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
Ciphers "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#
... 为了解决 POODLE SSLv3,我添加!SSLv3到了Ciphers。
然而,在使用Qualys SSL Labs - Projects / SSL Server Test进行测试时,我进入Protocol or cipher suite mismatch了Handshake Simulation。
有没有办法解决这个问题没有升级到 Pound v2.7d(测试版)然后使用新指令?
答案1
可以使用goochjj/pound at pcidss/v2.6分支,即 Pound 2.6,加上(最初)通过 PCI 合规性所需的密码和协议补丁,其中一部分是禁用 SSL3 的指令。
# grep DisableSSL /etc/pound.cfg
DisableSSLv3
DisableSSLv2
#
* 更新 *
DisableSSLv3似乎unknown directive使用未修补的,在里面Version 2.6使用。-SSLv3:-SSLv2Ciphers
答案2
@alexus 的上述回答对我来说非常有效。这里添加一些额外的注释,以防其他人像我一样遇到这个页面。对于这种特定的问题组合,似乎没有很多好的指导。
1) 原始问题的原因是,未修补版本的 Pound 在添加到时会禁用所有 SSLv3 密码!SSLv3。TLSCiphers主要依赖于相同的密码,如果没有它们,TLS 就无法正常工作。
2) 当您尝试./configure在@alexus 链接中的修补版本上运行旧版本的 GCC 时,它会给出错误,因为它无法识别该-Wno-unused-result标志。我手动删除了它,之后一切似乎都运行正常。
3)指令进入块DisableSSLv3内部(指令旁边)ListenHTTPspound.cfgCiphers