Chà, có một lỗ hổng SSL khác ngoài tự nhiên. Về mặt kỹ thuật, đây không thực sự là một lỗ hổng, nó chỉ là một "lỗ hổng" bên trong giao thức mà chúng ta dựa vào trong quá trình khấu hao SSL3 và giai đoạn của SSL2.
Thật không may, hầu hết các máy chủ web hiện đại dễ bị tấn công này vì giao thức bị ảnh hưởng được sử dụng rộng rãi.
Trong hướng dẫn này, tôi sẽ đề cập đến những việc cần làm để bảo mật máy chủ của bạn trên CentOS 6 và 7.
Cách bảo mật máy chủ của bạn
Có hai cách để bảo mật máy chủ của bạn. Trong hướng dẫn này, tôi sẽ chỉ bao gồm các tùy chọn đầu tiên.
- Tạo một nhóm khóa duy nhất.
- Vô hiệu hóa khóa xuất SSL.
Bạn sẽ cần làm gì
Kiểm tra xem máy chủ của bạn có dễ bị tấn công hay không bằng cách sử dụng trình kiểm tra Qualys SSL. Nếu máy chủ của bạn dễ bị tấn công, sẽ có một thông báo ở đầu trang.
Khi bạn đã xác nhận rằng máy chủ của bạn dễ bị tấn công, hãy nhập thư mục cài đặt NGINX của bạn.
cd /etc/nginx/
mkdir keygroup
cd keygroup
Chạy lệnh sau để tạo một nhóm chính.
openssl dhparam -out dhsecure.pem 2048
Thêm nhóm khóa mới vào cấu hình NGINX của bạn.
cd /etc/nginx/
vi .conf
Tiếp tục, chúng ta phải thêm ssl_dhparam ...
dòng mã được thấy bên dưới bên trong mỗi khối máy chủ SSL. Cập nhật tất cả các khối máy chủ SSL của bạn cho phù hợp.
server {
listen 443 ssl;
...
location / {
...
ssl_dhparam /etc/nginx/keygroup/dhsecure.pem
...
}
Thoát cấu hình và tải lại NGINX.
service nginx reload
Kiểm tra lại máy chủ của bạn với trình kiểm tra SSL. Máy chủ của bạn sẽ không còn dễ bị tấn công.