A POODLE (Padding Oracle On Downgraded Legacy Encryption) egy 2014. október 14-én talált biztonsági rés, amely lehetővé teszi a támadók számára, hogy az SSLv3 protokoll használatával bármilyen titkosított információt beolvashassanak egy „man-in-the-middle” támadás végrehajtásával. Bár sok program tartalékként használja az SSLv3-at, eljutott arra a pontra, hogy le kell tiltani – mivel sok klienst kényszeríthetnek az SSLv3 használatára. Ha egy klienst SSLv3-ra kényszerítünk, megnő a támadás esélye. Ez a cikk bemutatja, hogyan lehet letiltani az SSLv3-at bizonyos, manapság általánosan használt szoftveralkalmazásokban.
Nyissa meg a konfigurációs fájlt, amelyben a kiszolgáló információi vannak tárolva. Például /etc/nginx/sites-enabled/ssl.example.com.conf(az elérési út lecserélése a konfigurációnak megfelelően). A fájlban keresse meg a következőt: ssl_protocols. Győződjön meg arról, hogy ez a sor létezik, és egyezik a következőkkel:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Ez kényszeríti a TLS használatát, így letiltja az SSLv3-at (és minden régebbi vagy elavult protokollt). Most indítsa újra az Nginx szervert a következő parancsok egyikének futtatásával.
CentOS 7 :
systemctl restart nginx
Ubuntu/Debian :
service nginx restart
Az SSLv3 letiltásához lépjen az Apache modul konfigurációs könyvtárába. Ubuntu/Debian alatt lehet /etc/apache2/mod-available. Míg a CentOS-en a helyen található /etc/httpd/conf.d. Keresse meg a ssl.conffájlt. Nyissa meg ssl.confés keresse meg az SSLProtocolutasítást. Győződjön meg arról, hogy ez a sor létezik, és megfelel a következőnek:
SSLProtocol all -SSLv3 -SSLv2
Ha végzett, mentse, majd indítsa újra a kiszolgálót a következő parancsok valamelyikének futtatásával.
Ubuntu/Debian futtatáshoz:
CentOS 7 :
systemctl restart httpd
Ubuntu/Debian :
service apache2 restart
Menjen a postfixcímtárba. Jellemzően az /etc/postfix/. Nyissa meg a main.cffájlt, és keresse meg smtpd_tls_mandatory_protocols. Győződjön meg arról, hogy ez a sor létezik, és megfelel a következőnek:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2
Ez kényszeríti a TLSv1.1 és a TLSv1.2 engedélyezését és használatát a Postfix szerveren. Ha kész, mentse el és indítsa újra.
CentOS 7 :
systemctl restart postfix
Ubuntu/Debian :
service postfix restart
Nyissa meg a címen található fájlt /etc/dovecot/conf.d/10-ssl.conf. Ezután keresse meg a sort, amely tartalmazza, ssl_protocolsés győződjön meg arról, hogy megfelel a következőnek:
ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2
Ha elkészült, mentse és indítsa újra a Dovecot-ot.
CentOS 7 :
systemctl restart dovecot
Ubuntu/Debian :
service dovecot restart
Annak ellenőrzéséhez, hogy az SSLv3 le van-e tiltva a webszerveren, futtassa a következő parancsot (a tartományt és az IP-t ennek megfelelően cserélje le):
openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3
A következőhöz hasonló kimenetet fog látni:
CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1414181774
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Ha meg szeretné győződni arról, hogy kiszolgálója TLS-t használ, futtassa ugyanazt a parancsot, de anélkül -ssl3:
openssl s_client -servername example.com -connect 0.0.0.0:443
Hasonló információknak kell megjelennie. Keresse meg a Protocolvonalat, és erősítse meg, hogy használja TLSv1.X(a konfigurációtól függően X 1 vagy 2). Ha ezt látja, akkor sikeresen letiltotta az SSLv3-at a webszerverén.
Ez az oktatóanyag végigvezeti Önt a Vultrs rendszerekkel kompatibilis Windows ISO létrehozásának folyamatán. Itt megtanulhatja az <>Windows ISO<> előállításának lépéseit az NTLite segítségével.
A mesterséges intelligencia nem a jövőben, hanem itt a jelenben. Ebben a blogban Olvassa el, hogyan hatott a mesterséges intelligencia alkalmazások különböző ágazatokra.
Ön is DDOS támadások áldozata, és tanácstalan a megelőzési módszereket illetően? Olvassa el ezt a cikket a kérdések megoldásához.
Talán hallottál már arról, hogy a hackerek sok pénzt keresnek, de elgondolkodtál már azon, hogyan kereshetnek ennyi pénzt? beszéljük meg.
Szeretné látni a Google forradalmi találmányait, és azt, hogy ezek a találmányok hogyan változtatták meg minden mai ember életét? Ezután olvassa el a blogot, és nézze meg a Google találmányait.
Az önvezető autók koncepciója, hogy mesterséges intelligencia segítségével kerüljenek az utakra, már egy ideje álmunk. De számos ígéret ellenére sehol sem látszanak. Olvassa el ezt a blogot, hogy többet megtudjon…
Ahogy a tudomány gyors ütemben fejlődik, átveszi erőfeszítéseink nagy részét, megnő annak a kockázata is, hogy alávetjük magunkat egy megmagyarázhatatlan szingularitásnak. Olvassa el, mit jelenthet számunkra a szingularitás.
Olvassa el a blogot, hogy a legegyszerűbb módon ismerje meg a Big Data Architecture különböző rétegeit és azok funkcióit.
Az adatok tárolási módjai az Adatok születése óta alakulhatnak. Ez a blog egy infografika alapján mutatja be az adattárolás fejlődését.
Ebben a digitálisan vezérelt világban az intelligens otthoni eszközök az élet döntő részévé váltak. Íme az intelligens otthoni eszközök néhány elképesztő előnye, hogyan teszik életünket érdemessé és egyszerűbbé.
