防止针对 64 位分组密码 (SWEET32) 的 TLS/SSL 生日攻击

防止针对 64 位分组密码 (SWEET32) 的 TLS/SSL 生日攻击

etcd我们最近的 VA 报告显示,Kubernetes端口上可能存在针对 64 位分组密码的 TLS/SSL Birthday 攻击。

建议的解决方案是配置服务器以禁用对 3DES 套件的支持。

我们的问题是:

  • 如何禁用对 3DES 套件的支持?
  • 这个配置将如何影响我们正在运行的 Kubernetes 服务?
  • 如何配置服务器以禁用对静态密钥密码套件的支持?

这里建议一种仅访问 API 服务器的方法,但我不明白如何将其应用于运行 kubernetes 实例。

任何帮助或建议都将不胜感激。另请注意,我不是专业的网络管理员。

答案1

密码套件可以通过以下方式设置密码套件参数

$ etcd \
  --cipher-suites TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

根据这里这些密码套件应该是安全的。

编辑 :

etcd为了在 Ubuntu-18.04 LTE 上的 Kubernetes 中运行解决这个问题。

编辑:/etc/etcd.env添加此行:

ETCD_CIPHER_SUITES=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

相关内容