CentOS6.6에서 웹 서버 SSL 보안 대책
htps : // 이 m / 쿠타 마츠모토 / / ms / f93286fc82 에c9
CentOS6.9/CentOS7.4에서 웹 서버 SSL 보안 대책
이하 오래된 기사입니다.
1. 소개
최근 웹 서버의 SSL 관계의 보안 보고가 많습니다만, 많이 있어 잘 모르기 때문에, 체크 툴을 사용해 보았습니다.
htps //w w.ぁbs. 이 m/sl 하고 st/그리고 x. HTML
SSL Server Test
2. 관리하에 있는 웹 서버를 검사해 보았다.
관리되는 서버는 모 대학의 웹 서버, OS는 CentOS6.6 (RedHatEL6.6 호환), 웹 서버는 OS 표준 Apache, SSL 인증서는 UPKI
htps : // 우p 키포 rta l. 네. 아 c. jp/
UPKI 이니셔티브
를 사용하고 있습니다.
웹 서버(OS 표준의 apache)의 SSL 주위의 설정(/etc/httpd/conf.d/ssl.conf)은 UPKI의 서버 증명서의 설정만으로, 그 이외는 OS의 default인 채입니다.
그래서 검사해 본 결과.
평가는 C.
주요 실점은 Protocol에서 SSL3가 좋지 않다. Cipher에서 RC4라든지 여러가지 화가 났습니다.
3. SSL 구성 파일 ((/etc/httpd/conf.d/ssl.conf) 수정
SSL3의 경우
SSLProtocol all -SSLv2 -SSLv3
ssl.conf에 상기의 가필 「-SSLv3」
Cipher의 경우,
TLS_RSA_WITH_DES_CBC_SHA (0x9) WEAK 56
TLS_DHE_RSA_WITH_DES_CBC_SHA (0x15) DH 2048 bits (p: 256, g: 1, Ys: 256) FS WEAK 56
ssl.conf의 SSLCipherSuite에 「!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA」추가.
TLS_RSA_WITH_RC4_128_MD5 (0x4) WEAK 128
TLS_RSA_WITH_RC4_128_SHA (0x5) WEAK
ssl.conf의 SSLCipherSuite에 "!RC4"추가
위를 요약하면 CentOS6.6의 ssl.conf와의 차이는 다음과 같습니다.
$diff ssl.conf.20150719 ssl.conf
95c95
< SSLProtocol all -SSLv2
---
> SSLProtocol all -SSLv2 -SSLv3
100c100
< SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
---
> SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
수정 후 OS를 재부팅하면 설정이 반영됩니다.
상기의 기술예에 대해서는 이하의 홈페이지가 참고가 됩니다.
ぃ tp // 코 m / 시온 _ 코 jp / ms / 99 211 세아 세 3f76c f
보안 등급 확인
htps : // 아세스 s. 레레 t. 이 m / 그럼 / 그래서 / 1232613
httpd에서 POODLE SSLv3.0 취약점 문제 해결 (CVE-2014-3566)
htps //w w. jp.ぇb 세쿠리 ty. sy 만나 c. 코 m / ぇ l 코메 / pdf / wp _ 코 _ ㅇ 1 thm. pdf
웹 서버 암호화 알고리즘을 선택하는 방법
6페이지의 표 1이 유용하다.
4. 수정 후 평가
아래와 같이 A-평정이 되었습니다.
Cipher에서 WEAK가 사라졌습니다.
그 밖에도 WEAK 포인트를 지적되고 있습니다만, 우선 여기까지 해 두었습니다(^^;;
5. 참고
진단 결과의 판정 결과의 모든 캡처입니다.
수정 전
수정 후
이상
Reference
이 문제에 관하여(CentOS6.6에서 웹 서버 SSL 보안 대책), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/qiitamatumoto/items/3bc4a22918412a7a169b텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)