Desativar conjuntos de cifras específicas do Apache com WHM / cPanel

3

Estamos operando alguns servidores da Web que possuem o WHM / cPanel instalado, para que possamos gerenciar facilmente nossos sites e projetos. Para garantir que nossas informações e informações dos usuários estejam protegidas, estamos executando alguns testes de segurança. Todos os nossos servidores atualmente suportam conjuntos de códigos anônimos; especificamente:

TLS_ECDH_anon_WITH_RC4_128_SHA (0xc016)
TLS_ECDH_anon_WITH_AES_128_CBC_SHA (0xc018)
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA (0xc017)
                 and
TLS_ECDH_anon_WITH_AES_256_CBC_SHA (0xc019) 

Qual é a melhor maneira de desativá-los sem atrapalhar nossos sites?

    
por user3035181 25.04.2014 / 08:40

4 respostas

7

Para adicionar essas diretivas ao Apache via WHM você as adicionaria via:

Configuração do Apache > Incluir editor > Pre Main Incluir

e, claro, com o novo problema com o Poodle e a desativação do SSL v3, você provavelmente desejará:

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

No entanto, acredito que você também precise atualizar as configurações do conjunto SSL Cipher dentro de

Configuração do Apache > Configuração Global > Suíte de criptografia SSL

para algo assim:

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH:!aNULL

Certamente, quando atualizei meus servidores para desabilitar o SSLv3 e também desabilitei as cifras que permitem a autenticação anônima, fazendo o primeiro bit sozinho ainda mostrei meu servidor como estando disponível, mas fazendo a segunda parte como bem fixa.

    
por 18.10.2014 / 22:59
1

Quando eu olhei para WHM > Configuração de serviço > Configuração do Apache > Configuração Global > SSL Cipher Suite, descobri que a entrada permitia protocolos SSL mais antigos. Simplesmente selecionar o botão de opção padrão e reconstruir o arquivo de configuração e reiniciar o servidor Apache pareceu ser suficiente para forçar o uso de apenas quatro protocolos seguros, eliminando os protocolos que foram exibidos em laranja.

Eu julguei isso executando a ferramenta de segurança link no meu site.

Desejo que as especificações de segurança sejam mais simples e menos propensas a erros no WHM.

Com o WHM, gosto de selecionar as opções padrão , a menos que eu tenha um bom motivo para especificar algo diferente.

    
por 24.05.2018 / 02:21
0

A maneira mais fácil é editar seu arquivo de configuração do Apache e alterar algumas diretivas SSL.

Normalmente, você pode fazer isso alterando a diretiva SSLCipherSuite . O tópico foi discutido poucas vezes no StackExchange, ou seja, aqui: Configuração “ideal” do conjunto de codificação SSL do servidor Web .

Por favor, veja também configuração SSL para o Apache para mais detalhes.

Espero que ajude de alguma forma.

EDITAR:

A configuração endurecida exemplar pode ser assim:

SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

No entanto, lembre-se de ajustá-lo às suas necessidades.

    
por 25.04.2014 / 10:33
0

Eu sugiro que você desative SSL2 e SSL3 e ative TLS

Para WHM = > Configuração do Apache = > Incluir editor = > Pre Main Incluir

E selecione TODA versão

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

depois de reiniciar o Apache

E se ainda não for compatível corretamente, sugiro que você reconstrua o apache em Easyapache

    
por 14.07.2015 / 20:16

Tags