CentINdeki Logjam Saldırısından NGINXin Güvenliğini Sağlama

• Sunucunuzun güvenliği
• Yapmanız gerekenler

Vahşi doğada başka bir SSL güvenlik açığı daha var. Teknik olarak gerçekten bir güvenlik açığı değil, sadece SSL3'ün amortismanı ve SSL2'nin aşaması sırasında güvendiğimiz protokolün içindeki bir "delik".

Ne yazık ki, etkilenen protokol yaygın olarak kullanıldığı için çoğu modern web sunucusu bu saldırıya karşı savunmasızdır.

Bu kılavuzda, sunucunuzu CentOS 6 ve 7'de güvenceye almak için ne yapacağımı ele alacağım.

Sunucunuzun güvenliği

Sunucunuzu korumanın iki yolu vardır. Bu derste yalnızca ilk seçeneği ele alacağım.

1. Benzersiz bir anahtar grubu oluşturun.
2. SSL dışa aktarma anahtarlarını devre dışı bırakın.

Yapmanız gerekenler

Qualys SSL denetleyicisini kullanarak sunucunuzun savunmasız olup olmadığını kontrol edin. Sunucunuz savunmasızsa, sayfanın üstünde bir mesaj olacaktır.

Sunucunuzun savunmasız olduğunu onayladıktan sonra, NGINX kurulum dizininizi girin.

cd /etc/nginx/
mkdir keygroup
cd keygroup

Bir anahtar grubu oluşturmak için aşağıdaki komutu çalıştırın.

openssl dhparam -out dhsecure.pem 2048

Yeni anahtar grubunu NGINX yapılandırmanıza ekleyin.

cd /etc/nginx/
vi .conf

Devam ederken, ssl_dhparam ...aşağıda görülen kod satırını her bir SSL sunucu bloğunun içine eklemeliyiz . Tüm SSL sunucu bloklarınızı uygun şekilde güncelleyin.

server {
listen 443 ssl;
...
location / {
...
ssl_dhparam /etc/nginx/keygroup/dhsecure.pem
...
}

Yapılandırmadan çıkın ve NGINX'i yeniden yükleyin.

service nginx reload

Sunucunuzu SSL denetleyicisi ile tekrar test edin. Sunucunuz artık saldırıya açık olmayacak.