我的漏洞扫描程序对在端口 3001 上运行的 xcatd 服务中的 SSL 配置存在问题。扫描程序能够建立以下连接:
Medium Strength Ciphers (>= 56-bit and < 112-bit key)
SSLv3 DES-CBC-SHA Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1
TLSv1 DES-CBC-SHA Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1
The fields above are : {OpenSSL ciphername} Kx={key exchange} Au={authentication} Enc={symmetric encryption method} Mac={message authentication code} {export flag}
这是流行的 Web 服务器的良好参考配置,但我不确定如何将其转换为 xcat:
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
答案1
xcat 配置设置 xcatsslciphers 对应于IO::套接字::SSL配置设置 SSL_Cipher_list,它采用与 Apache 中的 SSLCipherSuite 指令完全相同的输入。
sudo sqlite3 /etc/xcat/site.sqlite
insert into site (key, value) VALUES ('xcatsslciphers', 'ALL:!ADH:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM');
然后您可以按如下方式验证配置值:
select * from site order by key;
.exit
重新启动 xcat:
sudo service xcatd restart
验证安全性:
openssl s_client -connect localhost:3001 -cipher DES-CBC-SHA -tls1
您不应该看到证书出现。