GNU/Linux >> Znalost Linux >  >> Linux

Jak opravit zranitelnost DROWN na webovém serveru Apache/NGINX a SMTP?

Zde je nejnovější zranitelnost nazvaná DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), jejímž cílem je útočit na servery používající slabý protokol SSL verze 2.0 (SSLv2) pro HTTPs, SMTP, IMAP, POP atd.… V podstatě každá služba, která používá SSL/TLS, podléhá být zranitelný přes SSLv2 . DROWN umožňuje útočníkovi dešifrovat komunikaci (získáním soukromého klíče) zašifrovanou pomocí certifikátu SSL založeného na RSA, pokud lze shromáždit dostatek dat pro navázání spojení SSLv2. DROWN může přímo ovlivnit servery používající slabý protokol SSLv2, ale k zachycení vyžaduje přibližně 1000 handshake SSL.

Jak otestovat váš server proti zranitelnosti DROWN?

Rychle přejděte na tento odkaz a otestujte svůj server proti útoku zranitelnosti DROWN.

Zde je webové rozhraní, kam můžete zadat adresu svého webu a kliknout na tlačítko „Zkontrolovat zranitelnost DROWN“.

Jak opravit zranitelnost DROWN na webových serverech Apache a Nginx?

V Apache: 

$ sudo vim /etc/httpd/conf/httpd.conf

(nebo)

$ sudo vim /etc/httpd/conf.d/ssl.conf

a přidejte -SSLv2 a -SSLv3 jak je uvedeno níže:

Všechny protokol SSL -SSLv2 -SSLv3

Poznámka: Výše uvedené nastavení doporučuje zakázat SSLv2 i SSLv3. Přestože protokol SSLv3 není zranitelný vůči útoku DROWN, důrazně se doporučuje deaktivovat protokol SSLv3, protože je zranitelný vůči jiným druhům útoků.

Restartujte webový server:

$ sudo /etc/init.d/httpd restart

V Nginx: 

$ sudo vim /etc/nginx/nginx.conf

Podívejte se na níže uvedený řádek:

ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;

a odeberte SSLv2 a SSLv3 jak je uvedeno níže:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Restartujte službu Nginx.

Jak opravit zranitelnost DOWN v SMTP – Postfix?

$ sudo vim /etc/postfix/master.cf

a nastavte následující řádky. Zde (!) odstraní protokoly SSLv2 a SSLv3.

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3smtp_tls_mandatory_protocols=!SSLv2,!SSLv3smtpd_tls_protocols=!SSLv2,!SSLv3smtp_tls!>2protocols=
 Poznámka:Nezapomeňte provést tuto změnu v každé službě, která používá SSL.
 

 Aktualizujte také OpenSSL na nejnovější verzi:
 
# yum update openssl*
Linux

  1. Jak nakonfigurovat webový server Apache

  2. Co je webový server a jak webový server funguje?

  3. Jak nainstalovat webový server Nginx na Linux

  1. Jak spustit, restartovat a zastavit webový server Apache

  2. Jak nainstalovat webový server Apache na Ubuntu

  3. Jak nainstalovat a nakonfigurovat webový server Apache na Ubuntu 13.10

  1. Jak zpevnit a zabezpečit webový server NGINX v Linuxu

  2. Chyba zabezpečení HTTPOXY:Jak chránit a testovat váš webový server

  3. Jak otestovat zranitelnost SSLv2 DROWN Attack pomocí skriptu Python (a řešení, jak opravit útok DROWN na Apache a NginX)