如何在Apache中禁用SSLv3?

点击蓝字 关注咱们css


 一块儿来探索运维的奥秘web




前言:SSLv3漏洞(CVE-2014-3566),SSL3.0版本被视为是不安全的。它使用RC4加密或CBC模式加密,前者易受误差攻击,后者会致使POODLE攻击,在生产环境中,常常会扫描到此漏洞,针对此漏洞,须要apache服务器端停用SSLv3协议。apache


api

环境准备浏览器


理解SSL和TLS:http在数据传输过程当中使用的是明文,为了解决这个问题https应运而生,ssl就是基于https的加密协议。当ssl更新到3.0版本后,IETF(互联网工程任务组)对ssl3.0进行了标准化,标准化后的协议就是TLS1.0,因此说TLS是SSL的标准化后的产物,TLS当前有1.0 ,1.1,1.2三个版本,默认使用1.0,到此咱们对ssl和TLS有了一个基本的了解。安全

  • web服务器支持TLS1.2须要的服务器运行环境:服务器

Apache对应版本应>=2.2.23;OpenSSL对应版本应>= 1.0.1
  • 查看当前服务器apache版本
    微信

[root@host-192-168-149-10 conf.d]# httpd -vServer version: Apache/2.4.29 (Unix)Server built: Jan 22 2018 16:51:25
  • openssl版本app

[root@host-192-168-149-10 conf.d]# openssl versionOpenSSL 1.0.1e-fips 11 Feb 2013

运维

环境整改

测试存在 全漏 洞的域名,以下 经过sslv3 访问 能够正常返回信息, 攻击者可能会利用 此漏洞 危害系统。
[root@host-192-168-149-10 conf.d]# curl  --sslv3 https://cs.df230.xyz/test/api/configs/fedch/all{ "overdue" : false, "success" : true, "errorCode" : null, "message" : "请求成功", "data" : { "global" : {      "copyright" : "功能清单",}

apache默认支持SSLv3,TLSv1,TLSv1.1,TLSv1.2协议

(注:ssl功能须要在http.conf中启用LoadModule ssl_module modules/mod_ssl.so)

apache默认配置以下

SSLProtocol All -SSLv2

进入目录/usr/local/apache/conf/extra

vi修改ssl.conf按照以下配置,目的是关闭sslv3协议

SSLEngine onSSLProtocol all -SSLv2 -SSLv3SSLProtocol TLSv1.2

配置保存后,须要service httpd restart重启apache使配置生效

再次测试sslv3访问,没法访问

[root@host-192-168-149-10 conf.d]# curl  --sslv3 https://cs.df230.xyz/test/api/configs/fedch/alcurl: (35) SSL connect error

经过google浏览器F12进入开发模式,能够看到浏览器访问当前域名使用的ssl协议为TLS1.2。

至此,漏洞整改完成,so easy!


—— E N D ——

文字:原创














扫描二维码 | 关注咱们

公众号 : 运维之美

                写留言

本文分享自微信公众号 - 运维之美(ywzm8976)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。

相关文章
相关标签/搜索