Tenho um servidor RHEL 9 e nosso scanner de vulnerabilidades encontrou os dois conjuntos de cifras a seguir no servidor, os quais precisamos desabilitar.
Cifras TLS 1.2:
TLS_RSA_WITH_AES_256_CCMTLS_RSA_WITH_AES_256_GCM_SHA384
Estou com dificuldade para encontrar ou desabilitar esses recursos. Não tenho muita experiência com Linux.
Até onde sei, este não é um servidor web. Verifiquei os locais abaixo:
- O
/etc/crypto-policies/configarquivo apenas listaFUTURE. - A saída do comando
update-crypto-policies --showéFUTURE /etc/crypto-policies/policies/não lista nada, exceto umamodulespasta que também não lista nada./etc/crypto-policies/statetem um arquivo chamadoCURRENT.polcom as seguintes informações:
# Policy FUTURE dump
#
# Do not parse the contents of this file with automated tools,
# it is provided for review convenience only.
#
# Baseline values for all scopes:
cipher = AES-256-GCM AES-256-CCM CHACHA20-POLY1305 AES-256-CTR
group = X25519 SECP256R1 X448 SECP521R1 SECP384R1 FFDHE-3072 FFDHE-4096 FFDHE-6144 FFDHE-8192
hash = SHA2-256 SHA2-384 SHA2-512 SHA3-256 SHA3-384 SHA3-512 SHAKE-256
key_exchange = ECDHE DHE DHE-RSA PSK DHE-PSK ECDHE-PSK ECDHE-GSS DHE-GSS
mac = AEAD HMAC-SHA2-256 UMAC-128 HMAC-SHA2-384 HMAC-SHA2-512
protocol =
sign = ECDSA-SHA3-256 ECDSA-SHA2-256 ECDSA-SHA2-256-FIDO ECDSA-SHA3-384 ECDSA-SHA2-384 ECDSA-SHA3-512 ECDSA-SHA2-512 EDDSA-ED25519 EDDSA-ED25519-FIDO EDDSA-ED448 RSA-PSS-SHA3-256 RSA-PSS-SHA2-256 RSA-PSS-SHA3-384 RSA-PSS-SHA2-384 RSA-PSS-SHA3-512 RSA-PSS-SHA2-512 RSA-PSS-RSAE-SHA3-256 RSA-PSS-RSAE-SHA2-256 RSA-PSS-RSAE-SHA3-384 RSA-PSS-RSAE-SHA2-384 RSA-PSS-RSAE-SHA3-512 RSA-PSS-RSAE-SHA2-512 RSA-SHA3-256 RSA-SHA2-256 RSA-SHA3-384 RSA-SHA2-384 RSA-SHA3-512 RSA-SHA2-512
arbitrary_dh_groups = 1
min_dh_size = 3072
min_dsa_size = 3072
min_rsa_size = 3072
sha1_in_certs = 0
ssh_certs = 1
min_ec_size = 256
etm = ANY
__ems = DEFAULT
# Scope-specific properties derived for select backends:
cipher@gnutls = AES-256-GCM AES-256-CCM CHACHA20-POLY1305
protocol@gnutls = TLS1.3 TLS1.2 DTLS1.2
cipher@java-tls = AES-256-GCM AES-256-CCM CHACHA20-POLY1305
protocol@java-tls = TLS1.3 TLS1.2 DTLS1.2
cipher@krb5 = AES-256-GCM AES-256-CCM CHACHA20-POLY1305 AES-256-CTR AES-256-CBC
mac@krb5 = HMAC-SHA2-384 HMAC-SHA2-256 AEAD UMAC-128 HMAC-SHA2-512
protocol@libreswan = IKEv2
cipher@nss = AES-256-GCM AES-256-CCM CHACHA20-POLY1305
protocol@nss = TLS1.3 TLS1.2 DTLS1.2
cipher@openssl = AES-256-GCM AES-256-CCM CHACHA20-POLY1305
protocol@openssl = TLS1.3 TLS1.2 DTLS1.2
Este é o único arquivo que vejo que lista cifras e outras informações. Tentei comentar AES-256-GCMna AES-256-CCMdeclaração ciphere reiniciei o servidor. Mas o scanner de vulnerabilidades ainda está reconhecendo esses dois conjuntos de cifras. Tentei a mesma cipher@openssldeclaração também.
Agradeço qualquer ajuda para desabilitar essas cifras.
Nunca edite
/etc/crypto-policies/state/CURRENT.poldiretamente, as alterações não terão efeito.Usar somente
update-crypto-policiesSe você alterou e o problema persistir, é provável que o problema seja causado por um aplicativo que ignora as configurações do OpenSSL do sistema. Você precisará ajustar manualmente a lista de cifras nesse aplicativo.
Tente
ss -tulnpencontrar serviços de escuta.Verifique seus arquivos de configuração
/etc, /opt, /usr/local, etc..parassl/tlsconfigurações.Pesquise na internet e tente
update-crypto-policies --set DEFAULTA
DEFAULTpolítica exclui todas as cifras baseadas em RSA, comoTLS_RSA_WITH_AES_256_GCM_SHA384, emboraFUTUREainda possa incluí-las dependendo da aplicação.Você pode tentar usar o nmap para identificar o chiper, talvez:
Esclarecimentos sobre o teste da cifra usando varredura NMAP
Script ssl-enum-ciphers
Outras fontes:
Emitindo solicitação de teste para um servidor SSL
cifras openssl
Teste OpenSSL de um conjunto de cifras
Como escanear cifras e algoritmos suportados por um endpoint TLS/SSL