Мы пытаемся исправить несколько уязвимостей, обнаруженных на нашем сервере Centos7 с помощью Apache 2.4 в качестве веб-сервера. Инструмент для сканирования - Qualys. Мы применили несколько шагов по исправлению, основанных на исследованиях, но, похоже, это не решило проблему.
1.) Атаки по случаю дня рождения на шифры TLS с уязвимостью размера блока 64 бита (Sweet32) Исправление выполнено: Добавить:! 3DES в концелинии SSLCipherSuite:
Пример:
SSLCipherSuite EECDH + AESGCM: EECDH + AES256: EECDH + AES128: EDH + AES: RSA + AESGCM: RSA + AES:! ECDSA:! NULL:! MD5:! DSS:! 3DES
2.) На сервере SSL включено исправление уязвимости с поддержкой SSLv3: добавьте следующую строку в: /etc/httpd/conf.d/ssl.conf
SSLProtocol All –SSLv2 –SSLv3
3.) Устаревшие параметры шифрования SSH - diffie-hellman-group1-sha1 Исправление выполнено: Удалить diffie-hellman-group1-sha1в KexAlgorithm (/ etc / ssh / sshd_config)
KexAlgorithms diffie-hellman-group14-sha1, diffie-hellman-group-exchange-sha1, diffie-hellman-group-exchange-sha256, ecdh-SHA2-nistp256, ECDH-SHA2-nistp384, ECDH-SHA2-nistp521, Диффи-Хеллмана-gROUP1-ыha1, curve25519-sha256 @ libssh.org
, но приведенная выше команда, похоже, не работает вообще ..
4.) мы все еще исследуем оставшиеся элементы:-SSL / TLS-сервер поддерживает TLS1.0 -SSL / TLS использует RC4 chpher