Вэб сервер дээрээ SSL үйлчилгээг бэхжүүлэх (Apache/ Linux): 3 алхам

2024 Зохиолч: John Day | [email protected]. Хамгийн сүүлд өөрчлөгдсөн: 2024-01-30 11:05

Энэ бол кибер аюулгүй байдлын нэг талтай холбоотой маш богино заавар юм - таны вэб сервер дээрх ssl үйлчилгээний хүч. Үүний үндэс нь таны вэбсайт дээрх ssl үйлчилгээг хэн ч таны вэбсайт руу дамжуулж буй өгөгдлийг хакердах боломжгүй болгоход ашигладаг явдал юм. OpenSSL -ийн Heartbleed алдаа, SSL 3.0 -ийн эмзэг байдлыг ашигласан Poodle алдаа гэх мэт эмзэг SSL үйлчилгээнүүдэд олон нийтэд халдлага гарсан. (Энэ хэсэг нь хөдөлж буй зорилт тул та ISO 27001 төлөвлөгөө-шалгах-шалгах (PDCA) мөчлөгт SSL тест хийх шаардлагатай.)

Танигдсан үйлчилгээ үзүүлэгчийн гэрчилгээг ашиглан ssl -ийг таны вэбсайтад суулгасны дараа та өөрийн вэбсайт руу https://yourdomain.com хаягаар орж үзэх боломжтой болно. Энэ нь өгөгдлийг шифрлэгдсэн хэлбэрээр урагш, урагш дамжуулдаг гэсэн үг юм. Үүний эсрэгээр, https://yourdomain.com эсвэл сул шифрлэлт нь дамжуулсан өгөгдлийг тодорхой текстээр ил гаргадаг бөгөөд энэ нь хакерууд ч гэсэн Wireshark гэх мэт бэлэн байгаа хэрэгслүүдийг ашиглан таны нууц үгний мэдээлэлд хандах боломжтой гэсэн үг юм.

Энэ гарын авлагын үлдсэн хугацаанд та Apache -ийг Linux дээр вэб сервер болгон ашиглах бөгөөд шаваас гэх мэт терминал эмулятороор дамжуулан вэб серверт хандах боломжтой гэж бодож байна. Энгийнээр хэлэхэд, таны ISP таны SSL сертификатыг өгсөн бөгөөд та түүний зарим талыг дахин тохируулах чадвартай гэж бодож байна.

Алхам 1: SSL үйлчилгээнийхээ хүч чадлыг шалгах

Зүгээр л https://www.ssllabs.com/ssltest/ хаягаар ороод Hostname талбарын хажууд өөрийн домэйн нэрийг оруулаад "Үр дүнг самбар дээр бүү харуул" гэсэн хайрцгийг сонгоод илгээх товчийг дарна уу. (Та урьдчилсан зөвшөөрөлгүйгээр ямар ч домэйныг турших ёсгүй бөгөөд үр дүнг самбар дээр хэзээ ч харуулах ёсгүй гэдгийг анхаарна уу.)

Туршилт явуулсны дараа танд F -ээс A+хүртэл оноо авах болно. Туршилтын нарийвчилсан үр дүнг танд өгөх болно, энэ нь танд яагаад оноогоо өгсөн болохыг ойлгох болно.

Амжилтгүй болох ердийн шалтгаан бол та шифр эсвэл протокол гэх мэт хуучирсан бүрэлдэхүүн хэсгүүдийг ашиглаж байгаатай холбоотой юм. Би удахгүй шифрүүд дээр анхаарлаа хандуулах болно, гэхдээ эхлээд криптограф протоколын талаар товчхон хэлье.

Криптограф протокол нь компьютерийн сүлжээгээр харилцаа холбооны аюулгүй байдлыг хангадаг. … Дамжуулж буй өгөгдлийг шифрлэхэд тэгш хэмт криптограф ашигладаг тул холболт хувийн (эсвэл найдвартай) байдаг. Хоёр үндсэн протокол нь TLS ба SSL юм. Сүүлийнх нь ашиглахыг хориглодог бөгөөд TLS нь хөгжиж байгаа тул би үүнийг бичиж байх үед хамгийн сүүлийн хувилбар нь ноорог хэлбэрээр байсан ч 1.3 байна. Практик утгаараа 2018 оны 1 -р сарын байдлаар та зөвхөн TLS v 1.2 байх ёстой. идэвхжүүлсэн. TLV v 1.3 руу шилжих магадлалтай. 2018 онд Qualys тест нь ямар криптографын протоколыг ашигласан болохыг жагсаах бөгөөд хэрэв та TLS v 1.2 -ээс доогуур хэрэглэж байгаа бол танд муу оноо өгөх болно.

Криптограф протоколын талаар хэлэх хамгийн сүүлийн зүйл бол та GoDaddy гэх мэт түгээмэл үйлчилгээ үзүүлэгчээс вэб багц болон SSL сертификат худалдаж авахад TLS v 1.2 байх болно. Энэ нь сайн боловч хамгийн доод тал нь TLS v 1.3 гэж хэлэхэд шинэчлэхэд хэцүү байж магадгүй юм. Би хувьдаа өөрийн SSL сертификатыг суулгадаг, тиймээс би хувь заяагаа өөрөө хянадаг.

Алхам 2: SSL -ийг өөрчлөхийн тулд Apache -ийг дахин тохируулна уу

Qualys SSL тестээр шалгагдсан чухал хэсгүүдийн нэг бөгөөд энэ хэсэгт анхаарлаа хандуулж байгаа нь таны дамжуулж буй өгөгдлийн шифрлэлтийн хүчийг тодорхойлдог Cipher програмууд юм. Миний домэйнүүдийн нэг дээр Qualys SSL тестээс авсан жишээ энд байна.

Шифр Suites # TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (сервер давуу тулд дурдах) (экв. 3072 бит RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (экв. 3072 бит RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (экв. 3072 бит RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 бит RSA) FS128

Та Qualys тестийн тайлангаас улаан шугамыг (амжилтгүй болсон) арилгахын тулд Apache-ийнхээ тохиргоог дахин тохируулахад маш их цаг зарцуулж магадгүй ч Cipher Suite-ийн хамгийн сайн тохиргоог авахын тулд дараах аргыг санал болгож байна.

1) Apache вэбсайтад зочилж, шифр Suite ашиглах зөвлөмжийг нь авна уу. Бичиж байх үед би энэ линкийг дагаж байсан -

2) Apache -ийн тохиргооны файлд санал болгож буй тохиргоог нэмж Apache -ийг дахин эхлүүлнэ үү. Энэ бол миний ашиглаж байсан тэдний санал болгосон тохиргоо юм.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-PACHE-ECD-E30-EC6-E56-E12-E56-E56-E56-E56-ECHA-ESCHE-RSA-AAC256-GCM-SHA384 -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Тэмдэглэл - Асуудлын нэг бол SSLCipherSuite удирдамжаа өөрчлөх шаардлагатай файлыг олох явдал юм. Үүнийг хийхийн тулд Putty дээр нэвтэрч etc директор руу нэвтэрнэ үү (sudo cd /etc) apache2 эсвэл http гэх мэт apache лавлах лавлах хайх. Дараа нь apache лавлах дээр дараах байдлаар хайлт хий: grep -r "SSLCipherSuite" /etc /apache2 - Энэ нь үүнтэй төстэй гаралтыг танд өгөх болно.

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Анхаарах чухал зүйл бол /etc/apache2/mods-available/ssl.conf файл эсвэл таных байсан зүйл юм. Файлыг нано гэх мэт редактор ашиглан нээгээд # SSL Cipher Suite хэсэг рүү очно уу. Дараа нь SSLCipherSuite удирдамжийн одоо байгаа оруулгыг Apache вэбсайтаас дээрх оруулгаар солино уу. Хуучин SSLCipherSuite удирдамжийг тайлбарлаж, Apache -ийг дахин эхлүүлээрэй - миний хувьд үүнийг sudo /etc/init.d/apache2 дахин эхлүүлэх гэж бичээд хийсэн.

Та Apache -ийн санал болгосон тохиргоог ашиглаж байсан ч гэсэн заримдаа танд Qualys SSL тестийн оноо бага өгдөг тусгай шифрүүдийг устгах шаардлагатай болдог гэдгийг анхаарна уу (шинэ эмзэг хэсгүүд илэрсэн гэж хэлээрэй). Жишээ нь таны Qualys тайланд TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) дээр дараах мөр улаан (амжилтгүй) гарч ирвэл эхний алхам бол Apache SSLCipherSuite удирдамжтаа ямар кодыг өөрчлөх хэрэгтэйг олж мэдэх явдал юм. Кодыг олохын тулд https://www.openssl.org/docs/man1.0.2/apps/ciphers… руу очно уу-энэ кодыг дараах байдлаар харуулав: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384-ийг аваад Apache Apache SSLCipherSuite удирдамж болгон нэмсэн оруулгаас устгаад дараа нь төгсгөлд нь нэмнэ үү!

Дахин хэлэхэд Apache -ийг дахин эхлүүлээд дахин шалгана уу

Алхам 3: Дүгнэлт

Та SSL тестийн талаар ямар нэгэн зүйл сурсан гэж би мэдэж байна. Энэ талаар сурах зүйл маш их байгаа ч би таныг зөв чиглэлд зааж өгсөн гэж найдаж байна. Дараагийн хичээлүүддээ би Кибер аюулгүй байдлын бусад салбарыг хамруулах болно.