Home » » 禁用SSLv3

禁用SSLv3

POODLE(在降级的传统加密上填充Oracle)是2014年10月14日发现的一个漏洞,它使攻击者可以通过执行中间人攻击来使用SSLv3协议读取任何加密信息。尽管许多程序使用SSLv3作为后备,但它已经到了应禁用的地步-因为许多客户端可能被迫使用SSLv3。强制客户端进入SSLv3会增加发生攻击的机会。本文将向您展示如何在当今常用的某些软件应用程序中禁用SSLv3。

在Nginx上禁用SSLv3

转到存储服务器信息的配置文件。例如,/etc/nginx/sites-enabled/ssl.example.com.conf(将路径替换为您的配置)。在文件中,查找ssl_protocols。确保此行存在,并且与以下内容匹配:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

这将强制使用TLS,从而禁用SSLv3(以及任何较旧或过时的协议)。现在,通过运行以下命令之一来重新启动Nginx服务器。

CentOS 7

systemctl restart nginx

Ubuntu / Debian

service nginx restart

在Apache上禁用SSLv3

要禁用SSLv3,请访问Apache的模块配置目录。在Ubuntu / Debian上可能是/etc/apache2/mod-available。在CentOS上,它可能位于中/etc/httpd/conf.d。查找ssl.conf文件。打开ssl.conf并找到SSLProtocol指令。确保此行存在,并且与以下内容匹配:

SSLProtocol all -SSLv3 -SSLv2

完成后,保存,然后通过运行以下命令之一重新启动服务器。

对于Ubuntu / Debian运行:

CentOS 7

systemctl restart httpd

Ubuntu / Debian

service apache2 restart

在Postfix上禁用SSLv3

转到您的postfix目录。通常是这样/etc/postfix/。打开main.cf文件并查找smtpd_tls_mandatory_protocols。确保此行存在,并且与以下内容匹配:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

这将强制在您的Postfix服务器上启用和使用TLSv1.1和TLSv1.2。完成后,保存并重新启动。

CentOS 7

 systemctl restart postfix

Ubuntu / Debian

service postfix restart

在Dovecot上禁用SSLv3

打开位于的文件/etc/dovecot/conf.d/10-ssl.conf。然后,找到包含的行,ssl_protocols并确保它与以下内容匹配:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

完成后,保存并重新启动Dovecot。

CentOS 7

systemctl restart dovecot

Ubuntu / Debian

service dovecot restart

测试SSLv3已禁用

要验证Web服务器上是否禁用了SSLv3,请运行以下命令(相应地替换域和IP):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

您将看到类似于以下内容的输出:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

如果要确认服务器正在使用TLS,请运行相同的命令,但不要执行以下操作-ssl3

 openssl s_client -servername example.com -connect 0.0.0.0:443

您应该看到显示的类似信息。找到该Protocol行并确认它正在使用TLSv1.X(根据您的配置X为1或2)。如果看到此消息,则说明您已成功禁用Web服务器上的SSLv3。


Tags: #Linux Guides #Networking #Web Servers

Leave a Comment

AI 能否應對越來越多的勒索軟件攻擊?

AI 能否應對越來越多的勒索軟件攻擊?

勒索軟件攻擊呈上升趨勢,但人工智能能否幫助應對最新的計算機病毒?AI 是答案嗎?在這裡閱讀知道是 AI 布恩還是禍根

ReactOS:這是 Windows 的未來嗎?

ReactOS:這是 Windows 的未來嗎?

ReactOS,一個開源和免費的操作系統,這裡有最新版本。它能否滿足現代 Windows 用戶的需求並打倒微軟?讓我們更多地了解這種老式但更新的操作系統體驗。

通過 WhatsApp 桌面應用程序 24*7 保持聯繫

通過 WhatsApp 桌面應用程序 24*7 保持聯繫

Whatsapp 終於為 Mac 和 Windows 用戶推出了桌面應用程序。現在您可以輕鬆地從 Windows 或 Mac 訪問 Whatsapp。適用於 Windows 8+ 和 Mac OS 10.9+

人工智能如何將流程自動化提升到新的水平?

人工智能如何將流程自動化提升到新的水平?

閱讀本文以了解人工智能如何在小型公司中變得流行,以及它如何增加使它們成長並為競爭對手提供優勢的可能性。

macOS Catalina 10.15.4 補充更新引發的問題多於解決

macOS Catalina 10.15.4 補充更新引發的問題多於解決

最近,Apple 發布了 macOS Catalina 10.15.4 補充更新以修復問題,但似乎該更新引起了更多問題,導致 mac 機器變磚。閱讀這篇文章以了解更多信息

大數據的13個商業數據提取工具

大數據的13個商業數據提取工具

大數據的13個商業數據提取工具

什麼是日誌文件系統,它是如何工作的?

什麼是日誌文件系統,它是如何工作的?

我們的計算機以稱為日誌文件系統的有組織的方式存儲所有數據。這是一種有效的方法,可以讓計算機在您點擊搜索時立即搜索和顯示文件。 https://wethegeek.com/?p=94116&preview=true

技術奇點:人類文明的遙遠未來?

技術奇點:人類文明的遙遠未來?

隨著科學的快速發展,接管了我們的大量工作,我們陷入無法解釋的奇點的風險也在增加。閱讀,奇點對我們意味著什麼。

洞察 26 種大數據分析技術:第 1 部分

洞察 26 種大數據分析技術:第 1 部分

洞察 26 種大數據分析技術:第 1 部分

2021 年人工智能對醫療保健的影響

2021 年人工智能對醫療保健的影響

過去幾十年,醫療保健領域的人工智能取得了巨大飛躍。因此,醫療保健中人工智能的未來仍在日益增長。