A POODLE (Padding Oracle On Downgraded Legacy Encryption) egy 2014. október 14-én talált biztonsági rés, amely lehetővé teszi a támadók számára, hogy az SSLv3 protokoll használatával bármilyen titkosított információt beolvashassanak egy „man-in-the-middle” támadás végrehajtásával. Bár sok program tartalékként használja az SSLv3-at, eljutott arra a pontra, hogy le kell tiltani – mivel sok klienst kényszeríthetnek az SSLv3 használatára. Ha egy klienst SSLv3-ra kényszerítünk, megnő a támadás esélye. Ez a cikk bemutatja, hogyan lehet letiltani az SSLv3-at bizonyos, manapság általánosan használt szoftveralkalmazásokban.
Nyissa meg a konfigurációs fájlt, amelyben a kiszolgáló információi vannak tárolva. Például /etc/nginx/sites-enabled/ssl.example.com.conf(az elérési út lecserélése a konfigurációnak megfelelően). A fájlban keresse meg a következőt: ssl_protocols. Győződjön meg arról, hogy ez a sor létezik, és egyezik a következőkkel:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Ez kényszeríti a TLS használatát, így letiltja az SSLv3-at (és minden régebbi vagy elavult protokollt). Most indítsa újra az Nginx szervert a következő parancsok egyikének futtatásával.
CentOS 7 :
systemctl restart nginx
Ubuntu/Debian :
service nginx restart
Az SSLv3 letiltásához lépjen az Apache modul konfigurációs könyvtárába. Ubuntu/Debian alatt lehet /etc/apache2/mod-available. Míg a CentOS-en a helyen található /etc/httpd/conf.d. Keresse meg a ssl.conffájlt. Nyissa meg ssl.confés keresse meg az SSLProtocolutasítást. Győződjön meg arról, hogy ez a sor létezik, és megfelel a következőnek:
SSLProtocol all -SSLv3 -SSLv2
Ha végzett, mentse, majd indítsa újra a kiszolgálót a következő parancsok valamelyikének futtatásával.
Ubuntu/Debian futtatáshoz:
CentOS 7 :
systemctl restart httpd
Ubuntu/Debian :
service apache2 restart
Menjen a postfixcímtárba. Jellemzően az /etc/postfix/. Nyissa meg a main.cffájlt, és keresse meg smtpd_tls_mandatory_protocols. Győződjön meg arról, hogy ez a sor létezik, és megfelel a következőnek:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2
Ez kényszeríti a TLSv1.1 és a TLSv1.2 engedélyezését és használatát a Postfix szerveren. Ha kész, mentse el és indítsa újra.
CentOS 7 :
systemctl restart postfix
Ubuntu/Debian :
service postfix restart
Nyissa meg a címen található fájlt /etc/dovecot/conf.d/10-ssl.conf. Ezután keresse meg a sort, amely tartalmazza, ssl_protocolsés győződjön meg arról, hogy megfelel a következőnek:
ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2
Ha elkészült, mentse és indítsa újra a Dovecot-ot.
CentOS 7 :
systemctl restart dovecot
Ubuntu/Debian :
service dovecot restart
Annak ellenőrzéséhez, hogy az SSLv3 le van-e tiltva a webszerveren, futtassa a következő parancsot (a tartományt és az IP-t ennek megfelelően cserélje le):
openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3
A következőhöz hasonló kimenetet fog látni:
CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1414181774
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Ha meg szeretné győződni arról, hogy kiszolgálója TLS-t használ, futtassa ugyanazt a parancsot, de anélkül -ssl3:
openssl s_client -servername example.com -connect 0.0.0.0:443
Hasonló információknak kell megjelennie. Keresse meg a Protocolvonalat, és erősítse meg, hogy használja TLSv1.X(a konfigurációtól függően X 1 vagy 2). Ha ezt látja, akkor sikeresen letiltotta az SSLv3-at a webszerverén.
Más rendszert használ? A Plesk egy szabadalmaztatott webtárhely-vezérlőpult, amely lehetővé teszi a felhasználók számára, hogy adminisztrálják személyes és/vagy ügyfeleik webhelyeit, adatbázisait
Bevezetés A Cacti egy nyílt forráskódú megfigyelő és grafikus eszköz, amely teljes mértékben az RRD adatokon alapul. A Cactuson keresztül szinte bármilyen típusú eszközt felügyelhet
Bevezetés A Lets Encrypt egy hitelesítésszolgáltató szolgáltatás, amely ingyenes TLS/SSL-tanúsítványokat kínál. A telepítés folyamatát a Certbot leegyszerűsíti,
Más rendszert használ? Mi az a Tekkit Classic? A Tekkit Classic egy modpack ahhoz a játékhoz, amelyet mindenki ismer és szeret; Minecraft. Tartalmaz néhányat a ver
Más rendszert használ? Ez az oktatóanyag megmutatja, hogyan telepítheti a csoportmunka iRedMail programot a Debian Wheezy friss telepítésére. Használnia kell egy szervát
Más rendszert használ? A Jekyll nagyszerű alternatíva a WordPress helyett blogíráshoz vagy tartalommegosztáshoz. Nem igényel adatbázist, és nagyon egyszerű i
Más rendszert használ? Ha Debian szervert vásárol, akkor mindig rendelkeznie kell a legújabb biztonsági javításokkal és frissítésekkel, akár alszik, akár nem
A PHP és a kapcsolódó csomagok a leggyakrabban használt összetevők a webszerverek telepítésekor. Ebben a cikkben megtudjuk, hogyan kell beállítani a PHP 7.0 vagy PHP 7.1 o verzióját
A Squid egy népszerű, ingyenes Linux-program, amely lehetővé teszi továbbítási webproxy létrehozását. Ebben az útmutatóban megtudhatja, hogyan telepítheti a Squid-et a CentOS rendszerre, hogy megfordítsa
Bevezetés A Lighttpd az Apache forkja, amely sokkal kevésbé erőforrás-igényes. Könnyű, innen kapta a nevét, és meglehetősen egyszerű a használata. Telepítés
1. Virtualmin/Webmin A Virtualmin egy hatékony és rugalmas web hosting vezérlőpanel Linux és UNIX rendszerek számára, amely a jól ismert nyílt forráskódú webbázison alapul.
A Yii egy PHP-keretrendszer, amely lehetővé teszi alkalmazások gyorsabb és egyszerűbb fejlesztését. A Yii telepítése Ubuntura egyszerű, amint azt pontosan megtudhatja
A Screen egy olyan alkalmazás, amely lehetővé teszi a terminálmunkamenetek többszöri használatát egy ablakon belül. Ez lehetővé teszi több terminálablak szimulálását, ahol ez ma
Ez az oktatóanyag elmagyarázza, hogyan állíthat be DNS-kiszolgálót a Bind9 használatával Debian vagy Ubuntu rendszeren. A cikkben ennek megfelelően helyettesítse be a saját-domain-neve.com címet. TH-nál
Bevezetés A Logrotate egy Linux segédprogram, amely leegyszerűsíti a naplófájlok kezelését. Általában naponta egyszer fut egy cron-feladaton keresztül, és kezeli a naplóbázist
A VULTR a közelmúltban változtatásokat hajtott végre a saját oldalukon, és most már mindennek jól kell működnie, ha a NetworkManager engedélyezve van. Ha szeretné letiltani
Az Icinga2 egy hatékony felügyeleti rendszer, és mester-kliens modellben használva helyettesítheti az NRPE-alapú felügyeleti ellenőrzések szükségességét. A mester-kliens
Más rendszert használ? A Red5 egy Java nyelven megvalósított nyílt forráskódú médiaszerver, amely lehetővé teszi többfelhasználós Flash-alkalmazások, például élő streamin futtatását.
Ebben a cikkben látni fogjuk, hogyan fordíthatja le és telepítheti az Nginx fővonalat az Nginx hivatalos forrásaiból a PageSpeed modullal, amely lehetővé teszi a
Más rendszert használ? Az Apache Cassandra egy ingyenes és nyílt forráskódú NoSQL adatbázis-kezelő rendszer, amelyet úgy terveztek, hogy biztosítsa a méretezhetőséget,
A mesterséges intelligencia nem a jövőben, hanem itt a jelenben. Ebben a blogban Olvassa el, hogyan hatott a mesterséges intelligencia alkalmazások különböző ágazatokra.
Ön is DDOS támadások áldozata, és tanácstalan a megelőzési módszereket illetően? Olvassa el ezt a cikket a kérdések megoldásához.
Talán hallottál már arról, hogy a hackerek sok pénzt keresnek, de elgondolkodtál már azon, hogyan kereshetnek ennyi pénzt? beszéljük meg.
Szeretné látni a Google forradalmi találmányait, és azt, hogy ezek a találmányok hogyan változtatták meg minden mai ember életét? Ezután olvassa el a blogot, és nézze meg a Google találmányait.
Az önvezető autók koncepciója, hogy mesterséges intelligencia segítségével kerüljenek az utakra, már egy ideje álmunk. De számos ígéret ellenére sehol sem látszanak. Olvassa el ezt a blogot, hogy többet megtudjon…
Ahogy a tudomány gyors ütemben fejlődik, átveszi erőfeszítéseink nagy részét, megnő annak a kockázata is, hogy alávetjük magunkat egy megmagyarázhatatlan szingularitásnak. Olvassa el, mit jelenthet számunkra a szingularitás.
Az adatok tárolási módjai az Adatok születése óta alakulhatnak. Ez a blog egy infografika alapján mutatja be az adattárolás fejlődését.
Olvassa el a blogot, hogy a legegyszerűbb módon ismerje meg a Big Data Architecture különböző rétegeit és azok funkcióit.
Ebben a digitálisan vezérelt világban az intelligens otthoni eszközök az élet döntő részévé váltak. Íme az intelligens otthoni eszközök néhány elképesztő előnye, hogyan teszik életünket érdemessé és egyszerűbbé.
Az Apple a közelmúltban kiadott egy kiegészítést a macOS Catalina 10.15.4-hez a problémák megoldására, de úgy tűnik, hogy a frissítés több problémát okoz, ami a Mac gépek blokkolásához vezet. További információért olvassa el ezt a cikket
