GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Wie behebt man die DROWN-Schwachstelle im Apache/NGINX-Webserver und SMTP?

Hier ist eine neueste Schwachstelle namens DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), die darauf abzielt, Server anzugreifen, die das schwache SSL-Protokoll Version 2.0 (SSLv2) für HTTPs, SMTP, IMAP, POP usw. verwenden. Grundsätzlich ist jeder Dienst, der SSL/TLS verwendet, betroffen gegenüber SSLv2 angreifbar sein. DROWN ermöglicht es einem Angreifer, die mit einem RSA-basierten SSL-Zertifikat verschlüsselte Kommunikation zu entschlüsseln (indem er den privaten Schlüssel erhält), wenn genügend SSLv2-Handshake-Daten gesammelt werden können. Das DROWN kann sich direkt auf Server auswirken, die ein schwaches SSLv2-Protokoll verwenden, es erfordert jedoch ungefähr 1000 SSL-Handshakes, um abgefangen zu werden.

Wie testet man seinen Server auf die DROWN-Schwachstelle?

Wechseln Sie schnell zu diesem Link, um Ihren Server gegen einen DROWN-Schwachstellenangriff zu testen.

Hier ist eine Weboberfläche, in der Sie Ihre Website-Adresse eingeben und auf die Schaltfläche „Nach DROWN-Schwachstelle suchen“ klicken können.

Wie behebt man die DROWN-Schwachstelle in Apache- und Nginx-Webservern?

In Apache: 

$ sudo vim /etc/httpd/conf/httpd.conf

(oder)

$ sudo vim /etc/httpd/conf.d/ssl.conf

und fügen Sie -SSLv2 und -SSLv3 hinzu wie unten gezeigt:

SSLProtocol all -SSLv2 -SSLv3

Hinweis: Die obige Einstellung empfiehlt, sowohl SSLv2 als auch SSLv3 zu deaktivieren. Obwohl SSLv3 nicht anfällig für DROWN-Angriffe ist, wird dringend empfohlen, SSLv3 zu deaktivieren, da es anfällig für andere Arten von Angriffen ist.

Starten Sie den Webserver neu:

$ sudo /etc/init.d/httpd restart

In Nginx: 

$ sudo vim /etc/nginx/nginx.conf

Achten Sie auf die folgende Zeile:

ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;

und SSLv2 und SSLv3 entfernen wie unten gezeigt:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Starten Sie den Nginx-Dienst neu.

Wie behebt man die DOWN-Schwachstelle in SMTP – Postfix?

$ sudo vim /etc/postfix/master.cf

und setze die folgenden Zeilen. Hier entfernt das (!) SSLv2- und SSLv3-Protokoll.

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Hinweis:Denken Sie daran, diese Änderung in jedem Dienst vorzunehmen, der SSL verwendet.

Aktualisieren Sie auch OpenSSL auf die neueste Version:

# yum update openssl*

Linux

  1. So konfigurieren Sie einen Apache-Webserver

  2. Was ist ein Webserver und wie funktioniert ein Webserver?

  3. So installieren Sie den Nginx-Webserver unter Linux

  4. So starten, starten und stoppen Sie den Apache-Webserver

  5. So installieren Sie den Apache-Webserver unter Ubuntu

So hosten Sie eine Website auf einem Apache-Webserver

So ändern Sie den WordPress-Port in Apache und Nginx

So installieren Sie den Nginx-Webserver unter Alpine Linux

So fügen Sie PHP-FPM-Unterstützung auf Apache und Nginx-Webserver auf Ubuntu 18.04 hinzu

So richten Sie Nginx Cache auf einem LAMP-Server ein

So installieren und konfigurieren Sie einen LAMP-Webserver unter Ubuntu 18.04