Назад | Перейти на главную страницу

Как отключить нулевые и слабые шифры на 389-Directory-Server

Я использую 389-DS на CentOS. Версия - '389-ds-base.i686 1.2.11.15-34.el6_5'. Сканирование системы безопасности показало, что NullCipher были обнаружены на портах 389 и 636.

Я попытался отключить их, выключив DS, отредактировав nsSSL3Ciphers во всех файлах /etc/dirsrv/slapd-/dse.ldif и запустив DS. nsSSL3Ciphers теперь выглядит так -

modifyTimestamp: 20140915221826Z
nsSSL3Ciphers: -rsa_null_md5,+rsa_rc4_128_md5,+rsa_rc4_40_md5,+rsa_rc2_40_md5,
 +rsa_des_sha,+rsa_fips_des_sha,+rsa_3des_sha,+rsa_fips_3des_sha,+fortezza,+fo
 rtezza_rc4_128_sha,-fortezza_null,+tls_rsa_export1024_with_rc4_56_sha,+tls_rs
 a_export1024_with_des_cbc_sha
numSubordinates: 1

Сканирование по-прежнему показывает нулевой шифр на этих 2 портах.

Here is the list of null SSL ciphers supported by the remote server :
  Null Ciphers (no encryption)
    TLSv1
      NULL-SHA                     Kx=RSA         Au=RSA      Enc=None                 Mac=SHA1   
The fields above are :
  {OpenSSL ciphername}
Port
389 / tcp / ldap    
636 / tcp / ldap    

Есть идеи, как я могу отключить эти нулевые шифры?

Вам нужно будет использовать браузер LDAP, такой как Apache Directory Studio, для изменения вашей конфигурации или встроенную утилиту LDAP ldapmodify. Я опишу шаги по использованию ldapmodify, поскольку это поможет вам понять, если вы решите использовать инструмент пользовательского интерфейса.

Чтобы использовать ldapmodify, вы сначала создаете файл ldif с определенным синтаксисом, а затем импортируете его. Обратите внимание, что в файле есть «replace:». Этот конкретный пример изменяет вещи в cn = encryption, cn = config, которые вы также можете просматривать и изменять с помощью браузера LDAP. Файл будет выглядеть примерно так:

dn: cn=encryption,cn=config
changetype: modify
replace: nsSSL3
nsSSL3: off
-
replace: nsSSL2
nsSSL2: off
-
replace: nsSSL3Ciphers
nsSSL3Ciphers: nsSSL3Ciphers: -rc4,-rc4export,-rc2,-rc2export,-des,-desede3,-rsa_rc4_128_md5,+rsa_rc4_128_sha,+rsa_3des_sha,-rsa_des_sha,+rsa_fips_3des_sha,+fips_3des_sha,-rsa_fips_des_sha,-fips_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,-tls_rsa_export1024_with_rc4_56_sha,-rsa_rc4_56_sha,-tls_rsa_export1024_with_des_cbc_sha,-rsa_des_56_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-dhe_dss_des_sha,+dhe_dss_3des_sha,-dhe_rsa_des_sha,+dhe_rsa_3des_sha,+tls_rsa_aes_128_sha,+rsa_aes_128_sha,+tls_dhe_dss_aes_128_sha,+tls_dhe_rsa_aes_128_sha,+tls_rsa_aes_256_sha,+rsa_aes_256_sha,+tls_dhe_dss_aes_256_sha,+tls_dhe_rsa_aes_256_sha,+tls_dhe_dss_1024_rc4_sha,+tls_dhe_dss_rc4_128_sha

Вы должны применить файл к своему серверу LDAP следующим образом:

ldapmodify -x -D "cn = менеджер каталогов" -W -f no_null_cipher.ldif

Я не могу сказать, будут ли эти точные команды работать с вашей конкретной настройкой, но это приведет вас на верный путь. Ваша схема может быть другой, поэтому cn = encryption, cn = config может оказаться не там, где вносить изменения. Просто будьте очень осторожны и, если возможно, тщательно проверьте, что вы делаете.

Вы можете исправить шифры вручную, как это предлагается в другом ответе, или, когда это применимо, просто обновить до FreeIPA 4.0.3, который исправляет шифры из коробки (билет вверх по течению).

Это то, что я получаю с FreeIPA 4.0.3 или 4.1.0 Alpha1:

# nmap --script ssl-cert,ssl-enum-ciphers -p 636 `hostname`

Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-09 01:52 EDT
Nmap scan report for ipa.mkosek-rhel71.test (10.16.78.57)
Host is up (0.000092s latency).
PORT    STATE SERVICE
636/tcp open  ldapssl
| ssl-cert: Subject: commonName=ipa.mkosek-rhel71.test/organizationName=MKOSEK-RHEL71.TEST
| Issuer: commonName=Certificate Authority/organizationName=MKOSEK-RHEL71.TEST
| Public Key type: rsa
| Public Key bits: 2048
| Not valid before: 2014-10-09T04:52:15+00:00
| Not valid after:  2016-10-09T04:52:15+00:00
| MD5:   0fc7 afd6 343b 9e51 abd0 3ba1 7bde 3c25
|_SHA-1: 246a 02f2 1663 3ca9 e97b cdd4 887e 6e10 7685 5627
| ssl-enum-ciphers: 
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|       TLS_RSA_WITH_SEED_CBC_SHA - strong
|     compressors: 
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 0.91 seconds