Вопросы Теги

Попытка смягчить Затор на Apache 2.2.16

Я пытаюсь следовать инструкциям, расположенным здесь для смягчения для уязвимости затора, однако я продолжаю получать следующую ошибку от апача:

Syntax error on line 18 of /etc/apache2/sites-enabled/000-default:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.

Когда я добавляю следующую строку к конфигурации: 

SSLOpenSSLConfCmd DHParameters /etc/ssl/certs/dhparams.pem

Мои апачские детали: 

Server version: Apache/2.2.16 (Debian)
Server built:   Oct 16 2014 10:27:58
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.4.2, APR-Util 1.3.9
Compiled using: APR 1.4.2, APR-Util 1.3.9
Architecture:   32-bit
Server MPM:     Prefork
  threaded:     no
    forked:     yes (variable process count)
Server compiled with....
 -D APACHE_MPM_DIR="server/mpm/prefork"
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=128
 -D HTTPD_ROOT="/etc/apache2"
 -D SUEXEC_BIN="/usr/lib/apache2/suexec"
 -D DEFAULT_PIDLOG="/var/run/apache2.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="mime.types"
 -D SERVER_CONFIG_FILE="apache2.conf"

Я искал, но наклон находит любой способ решить этот вопрос.

7
задан 20 May 2015 в 16:55
7 ответов

Из документации Apache параметр SSLOpenSSLConfCmd был добавлен в версию 2.4.8:

Совместимость: Доступно в httpd 2.4.8 и позже, при использовании OpenSSL 1.0.2 или более поздней версии

Вам нужно будет выполнить обновление до более поздней версии Apache, если вам нужно будет использовать эту опцию.

4
ответ дан 2 December 2019 в 23:20

Я избегаю заторов на сервере apachet 2.4, но с openssl 1.0.1 используя этот 

SSLProtocol -all +TLSv1 +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

Затем я создаю dhparams 

openssl dhparam -out dhparams.pem 2048
chmod 600 dhparams.pem

и добавляю к сертификату 

cat /etc/ssl/certs/dhparams.pem >> /etc/ssl/certs/serverhttp.crt

reload apache 

apachectl -k graceful

И проверяю его с помощью инструмента на этом сайте или с помощью nmap 

nmap --script ssl-enum-ciphers -p 443 yourserver |grep weak
0
ответ дан 2 December 2019 в 23:20

Параметр конфигурации «SSLOpenSSLConfCmd» не работает для Apache 2.2, и он не предоставляет никаких аналогичных параметров конфигурации для этого. Хотя для Apache 2.2 существует обходной путь, пока не будет выпущен официальный патч: https://bitbucket.org/snippets/wneessen/grb8

4
ответ дан 2 December 2019 в 23:20

также apache 2.2.22 (debian 7) Я также удалил проблемные шифры один за другим, в соответствии с тестом qualys ssl labs https: / /www.ssllabs.com/ssltest/index.html он проходит сейчас, несовместим только WinXP / IE6

В конечном итоге я использовал шифр: 

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA

это основано на рекомендации из https: / /weakdh.org/sysadmin.html, но с удалением dh-шифров, которые тест пометил как проблемные

8
ответ дан 2 December 2019 в 23:20

У меня apache 2.2.22 (Debian) и теперь используйте следующий CipherSuite, который работает для большинства современных браузеров, поскольку в нем отсутствует DH: 

SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
1
ответ дан 2 December 2019 в 23:20

Шифры greenone83 помогли мне! Я передаю из B на SSL Qualys Labs в A.

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
-1
ответ дан 2 December 2019 в 23:20

В Apache httpd 2.4.7 и ранее:

Эфемерный / анонимный DH ([EC] DHE, те, которые обеспечивают идеальную пересылку секретность) будет вычисляться автоматически из стандартизованных простых чисел DH (параметры), размер которых зависит от модуля сертификата сервера (а именно 2048/3072/4096/6144/8192, или еще 1024, если сертификаты a -не рекомендуется - 1024 бит один).

Источник

В основном он говорит, что Apache <2.4.7 будет использовать параметры DH той же длины, что и длина модуля сертификата , хотя у меня есть Apache & mod_ssl 2.2.15 с сертификатом 2048, для которого тест указывает, что он использует «Common 1024-bit Prime» для DHE.

С другой стороны, в документации Apache 2.2 указано, что mod_ssl <2.2.30 не поддерживает длину ключа> 1024 :

Начиная с версии 2.2.30, mod_ssl будет использовать параметры DH, которые включать простые числа с длиной более 1024 бит

Используемый CipherSuite указан в генераторе конфигурации Mozilla : 

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
0
ответ дан 2 December 2019 в 23:20

Теги

Похожие вопросы