使用openvas scan 從外部IP掃描一個 centos 7 上 apache 網站(有經過與許)
做了一下紀錄:
掃描後有找出一些風險
第一個 可以掃出centos 版本 (最好的方式還是把OS版本升級)
暫時解決方式
降低資訊揭露
修改vi /etc/httpd/conf/httpd.conf #RHEL/CentOS systems
新增/修改/附加下面的行
ServerTokens Prod
ServerSignature Off
設定好重啟apache服務
可以用nmap 指令
nmap.exe -T4 -sV -p 443 x.x.x.x
nmap.exe -p 443 –script ssl-enum-ciphers x.x.x.x
第二個問題
https 有高風險的加密套件
解決方式關閉老舊版本加密套件
編輯 /etc/httpd/conf.d/ssl.conf
將預設SSLCipherSuite 設定註解
修改如下設定(apache 官方建議)
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
設定好重啟apache服務
第三個中度風險
使用TLS 1.0 1.1 舊的協定
解決方式 Apache 停用 TLSv1.0 傳輸層安全性協定
編輯 /etc/httpd/conf.d/ssl.conf
找到 SSLProtocol 區段,用「+」、「-」的方式設定支援的協定,預設已經移除 SSLv2 和 SSLv3 ,此次多移除 TLS 1.0 1.1 ,設定如下 (可參考下圖)
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
參考資料
https://ishm.idv.tw/archives/396
https://gist.github.com/unciax/8c4008505e373103ddddab0a7b019611
https://www.gss.com.tw/blog/set-https-connect-protocols-and-ciphers
本篇瀏覽人數: 165
