Попытка настроить openldap TLSCipherSuite

923
hymie

У меня есть сервер openldap, и я пытаюсь настроить свои TLSCipherSuiteнастройки так, чтобы они были максимально безопасными.

Пожалуйста, не критикуйте мои фактические настройки безопасности. Пожалуйста, просто помогите мне понять, что происходит.

Я редактирую /etc/openldap/slapd.confфайл и использую его slaptestдля преобразования в /etc/openldap/slapd.dкаталог конфигурации. Я использую, sslscanчтобы перечислить шифры, доступные для использования.

Я начал с

TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3

и sslscanговорит мне

$ sslscan --no-failed hostname:636 | grep Accepted Accepted SSLv3 256 bits DHE-RSA-AES256-SHA Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA Accepted SSLv3 256 bits AES256-SHA Accepted SSLv3 256 bits CAMELLIA256-SHA [...] Accepted TLS12 112 bits DES-CBC3-SHA Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA Accepted TLS12 112 bits RC4-SHA Accepted TLS12 112 bits RC4-MD5  $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 72

Оттуда я достал СРЕДНЮЮ

TLSCipherSuite HIGH:-SSLv2:+SSLv3  $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 57

Лучше. Затем я попытался удалить SHA1, и вот тут я полностью запутался.

TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA  $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 91  $ sslscan --no-failed hostname:636 | grep Accepted [...] Accepted TLS12 112 bits RC4-SHA Accepted TLS12 112 bits RC4-MD5 Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA Accepted TLS12 56 bits DES-CBC-SHA Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA Accepted TLS12 0 bits NULL-SHA Accepted TLS12 0 bits NULL-MD5

Итак, мой вопрос ... что здесь произошло, что я попытался удалить некоторые шифры из моего принятого списка, и вместо этого я добавил кучу? Что я сделал не так?

Опять же, пожалуйста, не критикуйте мои фактические настройки безопасности. Пожалуйста, просто помогите мне понять, что происходит.

1

0 ответов на вопрос

Похожие вопросы