RHEL 7.5ホストがプラグイン42873:TCPポート443の「SSL Medium Strength Cipher Suites(SWEET32)サポート」に脆弱であることを示すTenable Nessusスキャンの結果が得られました。
Tenable Nessus レポートの詳細は次のとおりです。
Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES)
Name Code KEX Auth Encryption MAC
---------------------- ---------- --- ---- --------------------- ---
EDH-RSA-DES-CBC3-SHA 0x00, 0x16 DH RSA 3DES-CBC(168) SHA1
ECDHE-RSA-DES-CBC3-SHA 0xC0, 0x12 ECDH RSA 3DES-CBC(168) SHA1
DES-CBC3-SHA 0x00, 0x0A RSA RSA 3DES-CBC(168) SHA1
The fields above are :
{Tenable ciphername}
{Cipher ID code}
Kex={key exchange}
Auth={authentication}
Encrypt={symmetric encryption method}
MAC={message authentication code}
{export flag}
そのため、次のように "netstat -tulnp"コマンドを使用してそのホストのソースを確認しました。
tcp6 0 0 :::443 :::* LISTEN 67529/httpd
「ps 67529」の出力は、ターゲットがここから来たことを示します。
PID TTY STAT TIME COMMAND
67529 ? Ss 0:00 /usr/sbin/httpd -DFOREGROUND
httpd -v から取得した httpd バージョンは次のとおりです。
Server version: Apache/2.4.6 (CentOS)
この脆弱性を解決するために、/etc/httpd/conf.d/ssl.confファイルを編集し、次のパラメータが実際に存在することを確認した後、変更を適用するために最終的にhttpdを再起動しました。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA
SSLHonorCipherOrder on
ただし、Tenable Nessusで再スキャンした後でも、レポートにはまだこの脆弱性プラグイン42873が表示されます!誰でも助けることができますか? SSLパスワード関連の内容を処理するために編集する必要がある場所はわかりません。
アドバイスがあればよろしくお願いします。
答え1
最後に、「SSLCipherSuite」の内容を次のように編集しました。
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
「SSLHonorCipherOrder」をに変更しますoff
。
問題が解決しました。
ヒントをくれた@Steffen Ullrichに感謝します! ! !