কিভাবে অ্যাপাচে SSLv3 অক্ষম করবেন?


76

প্রত্যেকে আজকে পুডল দুর্বলতার বিষয়ে কথা বলে মনে হচ্ছে। এবং প্রত্যেকে নীচের কনফিগারেশন নির্দেশাবলী ব্যবহার করে অ্যাপাচে SSLL3 অক্ষম করার পরামর্শ দেয়:

SSLProtocol All -SSLv2 -SSLv3

ডিফল্ট পরিবর্তে

SSLProtocol All -SSLv2

আমি এটি করেছি এবং কোনও আনন্দ নেই - বিভিন্ন সরঞ্জামের সাথে বারবার পরীক্ষা করার পরে ( এখানে দ্রুত একটি ), আমি দেখতে পাচ্ছি যে এসএসএলভি 3 আমার সার্ভারটি সুখে গ্রহণ করেছে।

হ্যাঁ, আমি আপাচি পুনরায় চালু করেছি। হ্যাঁ, আমি grepসমস্ত কনফিগারেশন ফাইলগুলিতে একটি পুনরাবৃত্তি করেছি এবং আমার কোথাও কোনও ওভাররাইড নেই। এবং না, আমি অ্যাপাচি-র কিছু প্রাচীন সংস্করণ ব্যবহার করছি না:

[root@server ~]# apachectl -v
Server version: Apache/2.2.15 (Unix)
Server built:   Jul 23 2014 14:17:29

তো, কি দেয়? কীভাবে একজন আপাচে SSLv3 কে সত্যই অক্ষম করে?


এখানে উত্তর দেওয়া হয়েছে: Askubuntu.com/q/537196/7163
ররি আলসপ

5
প্রশ্নে বর্ণিত হিসাবে, আমি বিভাগে নির্দেশিত সমস্ত পদক্ষেপগুলি সম্পাদন করেছি এবং এসএসএল 3 এখনও উপলব্ধ available আমি আপনাকে বলতে পারি না যে বিভাগটির নির্দিষ্ট অংশটি এসএসএল 3 অক্ষম করতে ব্যর্থ হয়েছে, তবে মূল কথাটি এটি সম্পূর্ণরূপে এটি করে না। এই কথাটি বলে, আমি বুঝতে পেরেছি যে এই মুহুর্তে আপনার মডারেটর টুপি রয়েছে, সুতরাং দয়া করে প্রশ্নটি উত্থাপন করুন - এটি ভালভাবে প্রমাণ করতে পারে যে আমি একজন মরন এবং আমি একটি প্রাথমিক ভুল করেছি, তবে একজন মডারেটরের পিওভি থেকে এটি একটি বৈধ প্রশ্ন।

উত্তর:


80

আমার একই সমস্যা ছিল ... আপনাকে SSLProtocol all -SSLv2 -SSLv3প্রতিটি ভার্চুয়ালহস্ট স্তরের মধ্যে httpd.conf অন্তর্ভুক্ত করতে হবে

ভার্চুয়ালহস্ট স্ট্যানজগুলি সাধারণত httpd.conf ফাইলের শেষের দিকে থাকে। উদাহরণস্বরূপ:

...
...
<VirtualHost your.website.example.com:443>
    DocumentRoot /var/www/directory
    ServerName your.website.example.com

    ...
    SSLEngine on
    ...
    SSLProtocol all -SSLv2 -SSLv3
    ...
</VirtualHost>

এছাড়াও ssl.conf বা httpd-ssl.conf বা অনুরূপ পরীক্ষা করুন কারণ সেগুলি সেখানে সেট করা যেতে পারে, অগত্যা httpd.conf এ নয়


3
রেকর্ডটির জন্য, আপনার সিসাদমিন / ওয়েবমাস্টারের উপর নির্ভর করে ভার্চুয়ালহোস্টগুলি তাদের নিজস্ব ডেডিকেটেড ফাইলের মধ্যেই কনফ। ডি তে থাকতে পারে (এটি আমি বাড়ী রাখতে পছন্দ করি এবং এটি এমন কিছু আমি শিখেছি, যা আমি আবিষ্কার করেছি এমন কিছু নয়, তাই আমি আশা করি আমি একমাত্র নই)।
বোগদান স্টেনসেকু

3
নোট করুন যে SSLProtocolভার্চুয়ালহস্ট স্ট্যানজাসের বাইরে কমপক্ষে অ্যাপাচি ২.৪++ কনফিগার করা সমস্ত ভার্চুয়াল হোস্টের জন্য প্রযোজ্য।
নূরিকবে

2
আমি এই সরঞ্জামটি পেয়েছি যা অন্য সার্ভারগুলির মধ্যেও পরীক্ষা করে দেখাবে যে আপনার সার্ভারে এসএসএলভি
অ্যামফেটামচাইন

1
টিএলএসভি 1 অক্ষম করার সময় এই উত্তরটি আমার পক্ষে খুব সহায়ক হয়েছিল। যদি একটি প্রদত্ত প্রোটোকল সম্পূর্ণরূপে নিষ্ক্রিয় করা হয়েছে পরীক্ষা করার জন্য, আমি দরকারী নিম্নলিখিত পাওয়া যায়নি: nmap -sV --script ssl-enum-ciphers -p 443 <hostname>
লুকা সিটি

SSLProtocolপ্রতিটি ভার্চুয়ালহোস্ট সম্পাদনা না করে সিস্টেম-ওয়াইড সেট আপ করার কোনও উপায় আছে কি ?
ডুনাটোটাটোস

10

উবুন্টু 14.04 এ আমার একই সমস্যা ছিল। এটি পড়ার পরে আমি "এসএসএলপ্রোটোকল" বিভাগটি সম্পাদনা করেছি /etc/apache2/mods-available/ssl.conf

  • থেকে: SSLProtocol all
  • প্রতি: SSLProtocol all -SSLv2 -SSLv3 -TLSV1

তবে এটি কার্যকর হয়নি। সুতরাং আমি নীচের অংশটি খুব "এসএসএলসিফারসাইট" এডিট করেছি /etc/apache2/mods-available/ssl.conf

  • থেকে: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
  • প্রতি: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

এবং এখন এটি আমার জন্য কাজ করে।

যাইহোক, সাইফার স্যুটগুলি পুডল দ্বারা প্রভাবিত হয় না, কেবল প্রোটোকল - তবে বেশিরভাগ ব্রাউজারগুলি একটি অক্ষম এসএসএলভি 3 সিফার স্যুট দিয়ে ঠিক আছে।

এটি কোনও মেলসভারের জন্য ব্যবহার করবেন না! অথবা আপনি (সম্ভবত) কিছু ডিভাইসে আপনার মেলগুলি আনতে না পারার সমস্যার মুখোমুখি হবেন।


ধন্যবাদ. এই উত্তরটি WHM / cPanel সেটআপে কাজ করেছিল। আমি অনলাইনে প্রস্তাবিত অন্যান্য পদ্ধতিগুলি চেষ্টা করেছিলাম এবং কেবলমাত্র এটিই কাজ করেছিল।
ভয়েটেক জিলিনস্কি

1
এটি কাজ করে, তবে এটি আইই 10 এর মাধ্যমে অ্যাক্সেস অক্ষম করবে, কারণ এটি ডিফল্টরূপে SSLv3 এবং TLS1.0 ব্যবহার করে।
এরেবাস

4

উবুন্টু 10.04 এর জন্য

সমস্ত সক্রিয় vhosts এ SSLv3 অক্ষম করতে আপনার বিকল্পটি দরকার

/etc/apache2/mods- উপলভ্য / এসএসএল.কম:

SSLProtocol all -SSLv2 -SSLv3

2

আজ সকালে আমার একইরকম সমস্যা হয়েছিল এবং আমি আর একটি ভার্চুয়ালহোস্ট এসএসএলভি 3 সক্ষম করে দেখলাম, তাই পুরো সার্ভারটি এসএসএলভি 3 সংযোগে সাড়া দেয়।

সুতরাং, আপনার হোস্টগুলির মধ্যে কোনওটিই এসএসএভি 3 সক্রিয় না রয়েছে তা নিশ্চিত করুন।


1

নিশ্চিত হয়ে নিন যে এসএসএলসিফারসুয়েটে এতে অন্তর্ভুক্ত নেই ! SSLv3। সেই প্রসঙ্গে, এটি টিএলএস 1.0 এবং টিএলএস 1.1 কেও বোঝায়।

উদাহরণস্বরূপ, আপনার কনফিগারেশনটি যদি এসএসএল প্রোটোকল সব হয় তবে কীভাবে এসএসএলসিফারসুয়েটটি এসএসএলভি 3 দিয়ে কনফিগার করা হয়েছে তার কারণে কেবলমাত্র টিএলএস 1.2 পাওয়া যাবে।


0

সেন্টো ব্যবহারকারীদের জন্য এসএসএইচ এর মাধ্যমে আপনার এসএসএল কনফিগারেশন ফাইল সম্পাদনা করতে সমস্যা হচ্ছে, WHM এর মাধ্যমে SSLv3 অক্ষম করার চেষ্টা করুন :

পদক্ষেপ 1: অন্তর্ভুক্ত সম্পাদকটিতে নেভিগেট করুন

- WHM তে লগিন করুন - "অ্যাপাচি কনফিগারেশন" স্ক্রিনটি খুলুন এবং "অন্তর্ভুক্ত সম্পাদক" এ ক্লিক করুন

পদক্ষেপ 2: অন্তর্ভুক্তগুলি সম্পাদনা করুন

"প্রাক প্রধান অন্তর্ভুক্ত করুন" এর অধীনে, "সমস্ত সংস্করণ" নির্বাচন করুন। আপনি যদি অ্যাপাচে আপনার সংস্করণ পরিবর্তন করেন তবে আপনার সার্ভারটি সুরক্ষিত থাকবে। নির্বাচিত হলে, পাঠ্য বাক্সে নিম্নলিখিতটি প্রবেশ করান:

CentOS / RHEL 6.x এ:

এসএসএলপ্রোটোকল
-এসএল + টিএলএসভি 1 + টিএলএসভি 1.1 + টিএলএসভি 1.2 এ এসএসএলহোনরসিফার অর্ডার

CentOS / RHEL 5.x এ:

এসএসএলপ্রোটোকল
-এসএল + টিএলএসভি 1 তে এসএসএলহোনরসিফার অর্ডার

… এবং তারপরে আপডেট ক্লিক করুন ।

আপনি একবার আপডেট ক্লিক করলে, আপনাকে অ্যাপাচি পুনরায় চালু করার জন্য অনুরোধ জানানো হবে; এই সময়ে এটি করুন।

আসল উত্স: https://www.liquidweb.com/kb/how-to-disable-sslv3-and-protect-your-whmcpanel-server-from-poodle/


1
এই উত্তরটি WHOS / cPanel এর মাধ্যমে নিয়ন্ত্রিত সার্ভারগুলির জন্য প্রাসঙ্গিক, সেন্টোস চালিত সার্ভারগুলির জন্য নয়।
বোগদান স্টেনসেকু

0

আপনি যে পদ্ধতিটি ব্যবহার করছেন তা হ'ল অ্যাপাচি এবং ওপেনসেসেলের নতুন সংস্করণ। এটি সম্ভবত আপনার সিস্টেমে এর নতুন সংস্করণ ইনস্টল না করা, বর্তমান ইনস্টল করা সংস্করণ যাচাই করতে পারে।

যেহেতু SSLv2এবং SSLv3উভয়ই কিছু আক্রমণে ঝুঁকিপূর্ণ, তাই কেবলমাত্র টিএলএস ব্যবহার করা ভাল। সুতরাং নীচে আপনার অ্যাপাচি কনফ ফাইলটি সংশোধন করুন,

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

অথবা

SSLProtocol TLSv1

হ্যাঁ, আমিও চেষ্টা করেছিলাম - আনন্দ নেই। :-(

আপনি কি দয়া করে "অ্যাপাচিেক্টল কনফিগারেশন" কমান্ডের আউটপুটটি পেস্ট করতে পারেন?
P4cK3tHuNt3R

0

আমার অনুরূপ সমস্যা ছিল এবং আমি যাচাই করেছিলাম যে আমার কাছে সমস্ত উপযুক্ত অ্যাপাচি সেটিংস সঠিক ছিল।

তবে আমি যা মিস করেছি তা হ'ল আমার কাছে অ্যাপাচের সামনে বিপরীত প্রক্সি হিসাবে এনজিন্স ছিল। আমি প্লেস্ককে ব্যবহার করে যাচ্ছি এবং এটি তাদের পুডল ফিক্স গাইড থেকে এসেছে :

আপনি যদি এনগিনেক্স চালাচ্ছেন তবে আপনার কনফিগারেশনে নিম্নলিখিত লাইনটি অন্য এসএসএল নির্দেশের মধ্যে অন্তর্ভুক্ত করুন /etc/nginx/nginx.conf:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.