根据itsfoss.com 上的这篇文章,从 20.04 更新到 20.10 后,nftables 应该替换 iptables。就我而言,不仅仍然安装了 iptables,而且还缺少 nftables。
这是否意味着更新过程失败并且可能缺少其他组件?从安全的角度来看,这是一个很大的问题吗?
我想问一下是否有办法在 Ubuntu 20.04 上将 SSL 安全级别降低到 1,因为我收到:
141A318A:SSL routines:tls_process_ske_dhe:dh key too small
尝试卷曲网站时。
如果我添加参数,Curl 可以工作--ciphers 'DEFAULT:!DH',但是,我无法通过用 C# 编写的客户端应用程序获取网站。该网站在通过浏览器打开时也可以工作。
根据bugs.launchpad.net的说法,Ubuntu 团队故意设置了更高的 SSL 安全级别。
在几个地方,我遇到了更改CipherString = DEFAULT@SECLEVEL=2为1inopenssl.cnf帮助的信息,但是我的配置文件根本没有这样的行,并且添加它没有任何效果。
我不控制网站服务器,因此无法更改其安全配置。
有任何想法吗?安装一些较旧的 openSSL 包会有所帮助吗?
提前致谢
编辑:至于对我的配置文件的更改,我在最后添加了以下内容:
system_default = system_default_sect
[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=1
输出openssl version -a:
OpenSSL 1.1.1f 31 Mar 2020 built on: Mon Apr 20 11:53:50 2020 UTC
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,
--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-P_ODHM/openssl-1.1.1f=.
-fstack-protector-strong -Wformat -Werror=format-security
-DOPENSSL_TLS_SECURITY_LEVEL=2 -DOPENSSL_USE_NODELETE
-DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ
-DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT
-DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m
-DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM
-DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM
-DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG
-Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl" ENGINESDIR:
"/usr/lib/x86_64-linux-gnu/engines-1.1" Seeding source: os-specific