กำลังพยายามกำหนดค่า openldap TLSCipherSuite


1

ฉันมีเซิร์ฟเวอร์ openldap และฉันพยายามปรับTLSCipherSuiteการตั้งค่าของฉันให้ปลอดภัยเท่าที่จะทำได้

โปรดอย่าวิจารณ์การตั้งค่าความปลอดภัยที่แท้จริงของฉัน โปรดช่วยฉันเข้าใจว่าเกิดอะไรขึ้น

ฉันกำลังแก้ไข/etc/openldap/slapd.confไฟล์และฉันกำลังใช้slaptestเพื่อแปลงไฟล์นั้นเป็น/etc/openldap/slapd.dไดเรกทอรีการกำหนดค่า ฉันใช้sslscanเพื่อแสดงรายการเลขศูนย์ที่มีให้ใช้งาน

ฉันเริ่มต้นด้วย

TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3

และsslscanบอกฉัน

$ sslscan --no-failed hostname:636  | grep Accepted
Accepted  SSLv3  256 bits  DHE-RSA-AES256-SHA
Accepted  SSLv3  256 bits  DHE-RSA-CAMELLIA256-SHA
Accepted  SSLv3  256 bits  AES256-SHA
Accepted  SSLv3  256 bits  CAMELLIA256-SHA
[...]
Accepted  TLS12  112 bits  DES-CBC3-SHA
Accepted  TLS12  112 bits  ECDHE-RSA-RC4-SHA
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
72

จากนั้นฉันก็หยิบ MEDIUM ออกมา

TLSCipherSuite HIGH:-SSLv2:+SSLv3

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
57

ดีกว่า จากนั้นฉันพยายามลบ SHA1 และนี่คือที่ที่ฉันสับสนอย่างสมบูรณ์

TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
91

$ sslscan --no-failed hostname:636  | grep Accepted
[...]
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5
Accepted  TLS12  56 bits   EDH-RSA-DES-CBC-SHA
Accepted  TLS12  56 bits   DES-CBC-SHA
Accepted  TLS12  0 bits    ECDHE-RSA-NULL-SHA
Accepted  TLS12  0 bits    NULL-SHA
Accepted  TLS12  0 bits    NULL-MD5

ดังนั้นคำถามของฉันคือ ... เกิดอะไรขึ้นที่นี่ฉันพยายามลบเลขศูนย์ออกจากรายชื่อที่ยอมรับแล้ว แต่ฉันเพิ่มกลุ่มแทน? ฉันทำผิดอะไร?

อีกครั้งโปรดอย่าวิจารณ์การตั้งค่าความปลอดภัยที่แท้จริงของฉัน โปรดช่วยฉันเข้าใจว่าเกิดอะไรขึ้น

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.