服务器漏扫+安全漏洞修复

1、SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞修复
近期对公司开发环境的机器进行了安全扫描,在扫描安全报告中出现了SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞。

  • 漏洞报告


    image.png
  • 漏洞产生的原因

漏洞的原因主要是由于SSL/TLS协议中使用的DES(Data Encryption Standard)及Triple DES(3DES)密码存在安全缺陷。这些密码算法使用64位的块大小,使得远程攻击者能够通过Sweet32攻击获取纯文本数据。

  • 漏洞解决的方式

避免使用存在安全缺陷的DES/3DES密码算法
禁用弱密码套件

  • 解决方案:SSL密码套件替换
    运行窗口执行gpedit.msc命令


    image.png

    按如下图的层级目录,选择SSL Configuration Settings


    image.png

    选择编辑SSL Cipher Suite Order,进行SSL Cipher Suite数据修改
    image.png

    修改为以下内容:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

最后重启服务器

Linux,升级nginx-1.26.2
wget http://nginx.org/download/nginx-1.26.2.tar.gz
tar -zxvf nginx-1.26.2.tar.gz
cd nginx-1.26.2
nginx -V
 sudo yum install -y gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel
./configure     --prefix=/usr/share/nginx     --sbin-path=/usr/sbin/nginx     --modules-path=/usr/lib64/nginx/modules     --conf-path=/etc/nginx/nginx.conf     --error-log-path=/var/log/nginx/error.log     --http-log-path=/var/log/nginx/access.log     --http-client-body-temp-path=/var/lib/nginx/tmp/client_body     --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi     --http-proxy-temp-path=/var/lib/nginx/tmp/proxy     --http-scgi-temp-path=/var/lib/nginx/tmp/scgi     --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi     --pid-path=/run/nginx.pid     --lock-path=/run/lock/subsys/nginx     --user=nginx     --group=nginx     --with-file-aio     --with-http_ssl_module     --with-http_v2_module     --with-http_realip_module     --with-http_addition_module     --with-http_sub_module     --with-http_gzip_static_module     --with-http_random_index_module     --with-http_secure_link_module     --with-http_slice_module     --with-http_auth_request_module     --with-pcre     --with-pcre-jit     --with-stream=dynamic     --with-stream_ssl_module     --with-debug
nginx -V
nginx -t
  • 修改nginx 配置,vi /etc/nginx/nginx.conf 
    listen       443 ssl;
    server_name  www.test.cn;
    #ssl                  on;
    ssl_certificate      /home/ssl/test.cn.pem;
    ssl_certificate_key  /home/ssl/test.cn.key;
    ssl_session_timeout  5m;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers          ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

    if ($ssl_protocol = "TLSv1") {
       return 444;
    }
    if ($ssl_protocol = "TLSv1.1") {
       return 444;
    }

重启nginx

systemctl restart nginx
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容