Für diejenigen unter Ihnen, denen die Nachrichten zur Computersicherheit nicht bekannt sind, möchte ich Ihnen mitteilen, dass am 14. Oktober ein Team von Google-Forschern eine neue kritische Sicherheitslücke im SSLv3-Protokoll entdeckt hat. Diese Sicherheitsanfälligkeit heißt POODLE (Padding Oracle On Downgraded Legacy Encryption) und ermöglicht es einem böswilligen Benutzer, Man-in-the-Middle-Angriffe auszuführen und auf vertrauliche Daten wie Cookies, Kennwörter usw. zuzugreifen.
Das SSLv3-Protokoll wurde 1996 veröffentlicht, aber sowohl Server als auch Browser sind weiterhin mit diesem Protokoll kompatibel. Ich glaube, dass das Auftreten dieses Sicherheitsproblems dieses veraltete Protokoll einmal beenden wird, aber ich werde Ihnen dennoch einige einfache Schritte zeigen, um Ihren Server vor dieser Sicherheitsanfälligkeit zu schützen.
Schützen Sie den Server vor POODLE SSLv3-Sicherheitslücken
Theoretisch ist jede Anwendung oder Software, die das SSLv3-Protokoll unterstützt, anfällig. Daher kann ich nicht für alle Server Anweisungen geben, aber ich werde zeigen, wie Apache vor POODLE geschützt wird .
So schützen Sie Apache vor POODLE.
Was wir tun werden, ist das SSLv3-Protokoll in Apache zu deaktivieren. Denken Sie daran, dass die SSL-Funktionalität in Apache vom Modul mod_ssl bereitgestellt wird.
Diese Anweisungen und Dateispeicherorte gelten für Apache-Server, die unter Ubuntu 14.04 x64 und CentOS ausgeführt werden. Grundsätzlich bearbeiten mod_ssl Konfigurationsdatei mod_ssl , um das anfällige Protokoll zu deaktivieren.
In Ubuntu:
sudo nano /etc/apache2/mods-available/ssl.conf
Wir suchen nach der SSLProtocol Direktive und wenn sie nicht existiert, erstellen wir sie, indem wir Folgendes SSLProtocol (wenn sie existiert, SSLProtocol wir sie bei diesen Werten):
SSLProtocol all -SSLv3 -SSLv2
Wir starten Apache neu, damit die Änderungen wirksam werden:
sudo service apache2 restart
In CentOS:
sudo nano /etc/httpd/conf.d/ssl.conf
Wir sehen, ob die SSLProtocol Direktive in der Konfigurationsdatei SSLProtocol und wenn sie nicht existiert, fügen wir Folgendes ein:
SSLProtocol all -SSLv3 -SSLv2
Zum Schluss müssen wir nur noch Apache neu starten:
sudo service httpd restart
Dies sind einfache Schritte, die wir befolgen sollten, um die Sicherheit unserer Server zu gewährleisten. Bei den Browsern haben sich FireFox und Chrome bereits ausgesprochen, und sie haben die Absicht, dass sie dieses Protokoll in der nächsten Version nicht mehr unterstützen.