Sākums » » SSLv3 atspējošana

SSLv3 atspējošana

  • SSLv3 atspējošana Nginx
  • SSLv3 atspējošana vietnē Apache
  • SSLv3 atspējošana pakalpojumā Postfix
  • SSLv3 atspējošana vietnē Dovecot
  • Pārbaude, vai SSLv3 ir atspējots

    • POODLE (Padding Oracle On Downgraded Legacy Encryption) ir ievainojamība, kas tika atklāta 2014. gada 14. oktobrī, un kas ļauj uzbrucējam nolasīt jebkuru šifrētu informāciju, izmantojot protokolu SSLv3, veicot uzbrukumu “cilvēks vidū”. Lai gan daudzas programmas izmanto SSLv3 kā rezerves variantu, tas ir nonācis tiktāl, ka tas ir jāatspējo, jo daudzi klienti var tikt piespiesti izmantot SSLv3. Piespiežot klientu izmantot SSLv3, palielinās uzbrukuma iespēja. Šajā rakstā ir parādīts, kā atspējot SSLv3 atsevišķās lietojumprogrammās, kuras mūsdienās parasti izmanto.

    SSLv3 atspējošana Nginx

    Dodieties uz konfigurācijas failu, kurā tiek glabāta jūsu servera informācija. Piemēram, /etc/nginx/sites-enabled/ssl.example.com.conf(nomainot ceļu atbilstoši jūsu konfigurācijai). Failā meklējiet ssl_protocols. Pārliecinieties, vai šī rinda pastāv un atbilst tālāk norādītajam.

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    Tādējādi tiks izmantots TLS, tādējādi atspējojot SSLv3 (un visus vecākus vai novecojušus protokolus). Tagad restartējiet savu Nginx serveri, izpildot kādu no šīm komandām.

    CentOS 7 :

    systemctl restart nginx

    Ubuntu/Debian :

    service nginx restart

    SSLv3 atspējošana vietnē Apache

    Lai atspējotu SSLv3, dodieties uz Apache moduļa konfigurācijas direktoriju. Uz Ubuntu/Debian tas var būt /etc/apache2/mod-available. Savukārt CentOS sistēmā tas var atrasties /etc/httpd/conf.d. Meklējiet ssl.conffailu. Atveriet ssl.confun atrodiet SSLProtocoldirektīvu. Pārliecinieties, vai šī rinda pastāv un atbilst tālāk norādītajam.

    SSLProtocol all -SSLv3 -SSLv2

    Kad esat pabeidzis, saglabājiet un pēc tam restartējiet serveri, izpildot kādu no šīm komandām.

    Ubuntu/Debian palaišanai:

    CentOS 7 :

    systemctl restart httpd

    Ubuntu/Debian :

    service apache2 restart

    SSLv3 atspējošana pakalpojumā Postfix

    Dodieties uz savu postfixdirektoriju. Tas parasti ir /etc/postfix/. Atveriet main.cffailu un meklējiet smtpd_tls_mandatory_protocols. Pārliecinieties, vai šī rinda pastāv un atbilst tālāk norādītajam.

    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

    Tādējādi jūsu Postfix serverī būs jāiespējo un jāizmanto TLSv1.1 un TLSv1.2. Kad tas ir izdarīts, saglabājiet un restartējiet.

    CentOS 7 :

     systemctl restart postfix

    Ubuntu/Debian :

    service postfix restart

    SSLv3 atspējošana vietnē Dovecot

    Atveriet failu, kas atrodas /etc/dovecot/conf.d/10-ssl.conf. Pēc tam atrodiet rindiņu, kurā ir ietverta, ssl_protocolsun pārliecinieties, vai tā atbilst tālāk norādītajam.

    ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

    Kad tas ir izdarīts, saglabājiet un restartējiet Dovecot.

    CentOS 7 :

    systemctl restart dovecot

    Ubuntu/Debian :

    service dovecot restart

    Pārbaude, vai SSLv3 ir atspējots

    Lai pārbaudītu, vai jūsu tīmekļa serverī ir atspējots SSLv3, izpildiet šo komandu (attiecīgi nomainiet domēnu un IP):

    openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

    Jūs redzēsit līdzīgu izvadi:

    CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

    Ja vēlaties apstiprināt, ka jūsu serveris izmanto TLS, palaidiet to pašu komandu, bet bez -ssl3:

     openssl s_client -servername example.com -connect 0.0.0.0:443

    Jums vajadzētu redzēt līdzīgu informāciju. Atrodiet Protocollīniju un apstipriniet, ka tā izmanto TLSv1.X(ar X ir 1 vai 2 atkarībā no jūsu konfigurācijas). Ja redzat to, jūs esat veiksmīgi atspējojis SSLv3 savā tīmekļa serverī.

    Atstājiet komentāru

    Mašīnu pieaugums: AI reālās pasaules lietojumi

    Mašīnu pieaugums: AI reālās pasaules lietojumi

    Mākslīgais intelekts nav nākotnē, tas ir šeit, tagadnē. Šajā emuārā lasiet, kā mākslīgā intelekta lietojumprogrammas ir ietekmējušas dažādas nozares.

    DDOS uzbrukumi: īss pārskats

    DDOS uzbrukumi: īss pārskats

    Vai arī jūs esat DDOS uzbrukumu upuris un esat neizpratnē par profilakses metodēm? Izlasiet šo rakstu, lai atrisinātu savus jautājumus.

    Vai esat kādreiz domājis, kā hakeri pelna naudu?

    Vai esat kādreiz domājis, kā hakeri pelna naudu?

    Iespējams, esat dzirdējuši, ka hakeri pelna daudz naudas, bet vai esat kādreiz domājuši, kā viņi nopelna šādu naudu? pārrunāsim.

    Google revolucionāri izgudrojumi, kas atvieglos jūsu dzīvi.

    Google revolucionāri izgudrojumi, kas atvieglos jūsu dzīvi.

    Vai vēlaties redzēt revolucionārus Google izgudrojumus un to, kā šie izgudrojumi mainīja katra cilvēka dzīvi mūsdienās? Pēc tam lasiet emuārā, lai redzētu Google izgudrojumus.

    Piektdiena: kas notika ar AI vadītām automašīnām?

    Piektdiena: kas notika ar AI vadītām automašīnām?

    Pašpiedziņas automobiļu koncepcija izbraukt uz ceļiem ar mākslīgā intelekta palīdzību ir mūsu sapnis jau kādu laiku. Bet, neskatoties uz vairākiem solījumiem, tie nekur nav redzami. Lasiet šo emuāru, lai uzzinātu vairāk…

    Tehnoloģiskā singularitāte: cilvēces civilizācijas tāla nākotne?

    Tehnoloģiskā singularitāte: cilvēces civilizācijas tāla nākotne?

    Zinātnei strauji attīstoties, pārņemot lielu daļu mūsu pūļu, palielinās arī risks pakļaut sevi neizskaidrojamai singularitātei. Izlasiet, ko singularitāte varētu nozīmēt mums.

    Lielo datu atsauces arhitektūras slāņu funkcijas

    Lielo datu atsauces arhitektūras slāņu funkcijas

    Lasiet emuāru, lai vienkāršākā veidā uzzinātu dažādus lielo datu arhitektūras slāņus un to funkcijas.

    Datu glabāšanas evolūcija – infografika

    Datu glabāšanas evolūcija – infografika

    Datu uzglabāšanas metodes ir attīstījušās kopš datu dzimšanas. Šajā emuārā ir aprakstīta datu uzglabāšanas attīstība, pamatojoties uz infografiku.

    6 brīnišķīgas priekšrocības, ko sniedz viedo mājas ierīču izmantošana mūsu dzīvē

    6 brīnišķīgas priekšrocības, ko sniedz viedo mājas ierīču izmantošana mūsu dzīvē

    Šajā digitālajā pasaulē viedās mājas ierīces ir kļuvušas par būtisku dzīves sastāvdaļu. Šeit ir daži pārsteidzoši viedo mājas ierīču ieguvumi, lai padarītu mūsu dzīvi dzīves vērtu un vienkāršāku.

    MacOS Catalina 10.15.4 papildinājuma atjauninājums rada vairāk problēmu nekā to risināšana

    MacOS Catalina 10.15.4 papildinājuma atjauninājums rada vairāk problēmu nekā to risināšana

    Nesen Apple izlaida macOS Catalina 10.15.4 papildinājuma atjauninājumu, lai novērstu problēmas, taču šķiet, ka atjauninājums rada vairāk problēmu, kas izraisa Mac datoru bloķēšanu. Izlasiet šo rakstu, lai uzzinātu vairāk