%20%E7%9A%84%20TLS%2FSSL%20%E7%94%9F%E6%97%A5%E6%94%BB%E5%87%BB.png)
etcd我们最近的 VA 报告显示,Kubernetes端口上可能存在针对 64 位分组密码的 TLS/SSL Birthday 攻击。
建议的解决方案是配置服务器以禁用对 3DES 套件的支持。
我们的问题是:
- 如何禁用对 3DES 套件的支持?
- 这个配置将如何影响我们正在运行的 Kubernetes 服务?
- 如何配置服务器以禁用对静态密钥密码套件的支持?
这里建议一种仅访问 API 服务器的方法,但我不明白如何将其应用于运行 kubernetes 实例。
任何帮助或建议都将不胜感激。另请注意,我不是专业的网络管理员。
答案1
密码套件可以通过以下方式设置密码套件参数:
$ etcd \
--cipher-suites TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
根据这里这些密码套件应该是安全的。
编辑 :
etcd为了在 Ubuntu-18.04 LTE 上的 Kubernetes 中运行解决这个问题。
编辑:/etc/etcd.env添加此行:
ETCD_CIPHER_SUITES=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384