Ich habe einige Sicherheitslücken mit Chiffren. Anonym chiper, ssl rc4 cipher suiten unterstützt, ssl medium stärke chiffre.Welches sind die Befehle zum Löschen von Chiffren?
und ich versuche, es zu beheben mit
openssl ciphers -v ‘!aNULL:!eNULL’
openssl ciphers -v ‘ALL:!LOW’
und anderen Befehlen, aber wenn ich den nessusd Scan neu zu laden, ich habe immer noch die Schwachstellen.
Jemand kann mir bitte helfen.
Hinzufügen zu @vcsjones Antwort, Sie tun nicht wollen OpenSSL neu erstellen. Sie möchten nicht davon abhängig sein, dass Sie einen aktuellen, benutzerdefinierten OpenSSL-Build erstellen.
Sie müssen einfach konfigurieren Sie Apache die richtigen Chiffren zu verwenden, installieren.
Und der einfachste Weg, dies zu tun ist, verwenden Sie die Mozilla SSL Configuration Generator, um die richtigen Optionen für die Versionen von Webserver und SSL-Provider, die Sie verwenden, zu generieren.
Dies ist eine gute Antwort . +1. – vcsjones
@vcsjones Danke. Ich hatte das Gefühl, dass der Fragesteller mit der Reparatur von OpenSSL fertig wurde, ohne zu merken, dass die Konfiguration von Apache viel einfacher wäre.Ich habe mich oft selbst mit der Nessus-Ausgabe beschäftigt, und es ist nicht wirklich einfach für Nicht-Experten in allem, was gescannt wird, um den einfachsten Weg zu finden, die gefundenen Schwachstellen zu beheben. –
Sie können nur durch erneutes Kompilieren es Chiffren von OpenSSL entfernen, ohne die Chiffren Sie wollen. Der Befehl, den Sie oben eingegeben haben, listet einfach nur Verschlüsselungen auf, die die von Ihnen eingegebenen Kriterien erfüllen.
Die korrekte Lösung ist jedoch, die Software zu konfigurieren, die OpenSSL verwendet, um diese Chiffren von OpenSSL nicht zu verwenden. Mit Nginx können Sie beispielsweise Folgendes tun:
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
Es hängt von der Software ab, die Sie konfigurieren möchten. Es gibt reichlich Dokumentation über Stack Overflow, Server Fault, etc. zum Konfigurieren von Nginx, Apache, etc.
Ich benutze Apache. aber ich möchte openssl für die Verwendung hoher strengnth cipher neu konfigurieren, anonym entfernen. Das ist der Befehl zum Löschen von Chiffren. Ich habe versucht, mit Ihrem Befehl, funktioniert aber nicht –
@ RafaelHernández * aber ich möchte openssl rekonfigurieren * Nein, Sie wollen nicht konfigurieren, OpenSSL, möchten Sie nur konfigurieren, wie Apache * OpenSSL verwendet. Das Erstellen eines benutzerdefinierten OpenSSL-Builds, das ordnungsgemäß funktioniert, ist viel schwieriger als die einfache Konfiguration von Apache. –
ich setze die Chiffre generiere durch mozilla SSLProtocol alle -SSLv2 -SSLv3 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-R .... in ssl.conf und den Apache neu gestartet, aber die Sicherheitslücken immer noch –
* Dies könnte * off-Thema als für Stackoverflow und besser geeignet für [Server Fault] (https://serverfault.com/) oder [Unix & Linux] (https://unix.stackexchange.com /). Während das Erstellen eines benutzerdefinierten und begrenzten OpenSSL Ihr Problem lösen würde, und in diesem Fall würde es hierher gehören, da es die Anpassung von Software beinhaltet, ist es viel einfacher, Apache als sicher zu konfigurieren, vorausgesetzt, dass Sie auf dem neuesten Stand sind Versionen von OpenSSL und Apache. Und nur die Konfiguration Ihres Webservers ist für diese anderen Websites besser geeignet. –
Stack Overflow ist eine Website für Programmier- und Entwicklungsfragen. Diese Frage scheint off-topic zu sein, weil es nicht um Programmierung oder Entwicklung geht. Siehe [Welche Themen kann ich hier fragen?] (Http://stackoverflow.com/help/on-topic) in der Hilfe. Vielleicht [Web Applications Stack Exchange] (http://webapps.stackexchange.com/), [Webmaster Stack Exchange] (http://webmasters.stackexchange.com/) oder [Unix & Linux Stack Exchange] (http: // unix.stackexchange.com/) wäre ein besserer Ort, um zu fragen. – jww