在将基于 Java(和 Jetty)的专有应用程序从 RHEL7 迁移到 RHEL8 时,我学到了一些新东西:至少在 OpenJDK 11 中,JVM 仍然默认值除非指定系统属性,否则将设置为 1024 位 Diffie-Hellman 组jdk.tls.ephemeralDHKeySize。之前没有人注意到,因为所有客户端连接都是通过负载均衡器处理的,但最终发现这一点是因为在同一台主机上运行的 Python 客户端由于DEFAULT 系统范围的加密策略至少需要 2048 位。 虽然设置此系统属性解决了该问题,但深入研究周围记录不良的逻辑update-cry...
我们使用 sendEmail 与客户邮件服务器交互并从我们的软件发送电子邮件。目前,我正尝试通过 ATT 电子邮件帐户验证发送电子邮件。我不断收到以下错误。我找到了一些关于如何在 sendmail 上修复它的信息,但我没有找到如何使用 sendEmail 修复它。 Nov 18 12:51:06 customer sendEmail[32118]: Message input complete. Nov 18 12:51:06 customer sendEmail[32118]: DEBUG => Connecting to websitesmail...
由于我们不是 Web 服务器管理和安全方面的专家,因此我们很难更新 JBoss 5.1.0 GA Web 服务器配置以满足 Diffie-Hellman 标准。JBoss 是作为较大平台中间层的一部分安装的。我们看过其他服务器的文档这里,另一个版本的 JBoss 的解决方案这里,并且对同一版本的 JBoss 有效,但对我们不起作用这里。我们原来的server.xml文件中的connector标签有sslProtocol =“TLS”,并且根本没有ciphers属性。 我们尝试将 sslProtocol = "TLS" 设置改为复数 sslProtocols...
由于 Logjam 漏洞,我将密码限制为 ECDHE,因此我无法再从 Centos 机器执行 curl。(在 Ubuntu 上运行) $ curl -v https://mysite.mydomain.com * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP) * Cannot c...
自从我的 Debian 服务器上最新的 openssl 升级以来,我的 mysql 客户端无法连接并显示以下消息 SSL connection error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small 我猜这是为了防止僵局攻擊。 谢谢https://weakdh.org/sysadmin.html我知道如何生成更强大的 Diffie-Hellman 参数。但是,我没有找到任何可以实际使用这些参数的 MySQL 配置选项。 有人知道吗? ...
像其他管理员一样,我正在努力解决僵局使固定。 我已经在 centos 6.6 机器上升级到 Apache 2.4.12 和 openssl 1.0.2a。 当我启动 apache 时,看到返回此错误消息: Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration 这是我的 Apache 构建信息: Server version: Apache/2.4.12 (Un...
建议采取以下缓解策略:僵局与 SSH 相关的攻击是使用类似的东西生成自定义 SSH Diffie-Hellman 组(下面是针对 OpenSSH 的) ssh-keygen -G moduli-2048.candidates -b 2048 ssh-keygen -T moduli-2048 -f moduli-2048.candidates 然后用输出文件替换系统范围的模量文件moduli-2048。(ssh-keygen -G用于生成候选 DH-GEX 素数,并ssh-keygen -T测试生成的候选素数的安全性。) 这显然是在 SSH 服务器上...
截至撰写本文时(第 2 天),关于如何缓解 Apache 和其他 Web 服务器的 Logjam 问题的准确指南相当少,例如此页面: https://weakdh.org/sysadmin.html OpenVPN 服务器有哪些类似的指令? OpenVPN 有受到影响吗?(我想是的,因为这是一个 TLS 协议问题)。 ...
网站弱者网解释如何修复 postfix 以防止被称为“logjam”的弱 Diffie-Hellman 攻击。 但是我是否也需要修复 courier?或者我是否必须迁移到 dovecot 才能避免堵塞? ...