我在 CentOS 上运行 389-DS。版本 - '389-ds-base.i686 1.2.11.15-34.el6_5'。安全扫描显示在端口 389 和 636 上发现了 NullCiphers。
我试图通过关闭 DS、编辑所有“/etc/dirsrv/slapd-/dse.ldif”文件上的“nsSSL3Ciphers”并启动 DS 来禁用它们。nsSSL3Ciphers 现在看起来像这样 -
modifyTimestamp: 20140915221826Z
nsSSL3Ciphers: -rsa_null_md5,+rsa_rc4_128_md5,+rsa_rc4_40_md5,+rsa_rc2_40_md5,
+rsa_des_sha,+rsa_fips_des_sha,+rsa_3des_sha,+rsa_fips_3des_sha,+fortezza,+fo
rtezza_rc4_128_sha,-fortezza_null,+tls_rsa_export1024_with_rc4_56_sha,+tls_rs
a_export1024_with_des_cbc_sha
numSubordinates: 1
扫描仍然在这 2 个端口上显示空密码。
Here is the list of null SSL ciphers supported by the remote server :
Null Ciphers (no encryption)
TLSv1
NULL-SHA Kx=RSA Au=RSA Enc=None Mac=SHA1
The fields above are :
{OpenSSL ciphername}
Port
389 / tcp / ldap
636 / tcp / ldap
关于如何禁用这些 Null 密码的任何想法?
您必须使用 LDAP 浏览器(例如 Apache Directory Studio)来修改您的配置或内置 LDAP 实用程序 ldapmodify。我将概述使用 ldapmodify 的步骤,因为如果您选择使用 UI 工具,它将有助于它变得有意义。
要使用 ldapmodify,首先创建一个具有特定语法的 ldif 文件,然后将其导入。请注意,该文件有“替换:”贯穿其中。这个特定的示例是修改 cn=encryption,cn=config 中的内容,您也可以使用 LDAP 浏览器查看和修改这些内容。该文件看起来像这样:
您可以像这样将文件应用到您的 LDAP 服务器:
ldapmodify -x -D "cn=目录管理器" -W -f no_null_cipher.ldif
我不能说这些确切的命令是否适用于您的特定设置,但这会让您走上正轨。您的架构可能不同,因此 cn=encryption,cn=config 可能不是进行更改的地方。只是要超级小心,如果可能的话,彻底测试你在做什么。
您可以按照其他答案中的建议手动修复密码,或者在适用时简单地升级到 FreeIPA 4.0.3,它可以立即修复密码(上游票证)。
这是我使用FreeIPA 4.0.3或 4.1.0 Alpha1 得到的: