NGINX修复弱口令漏洞

已于 2022-11-29 15:54:21 修改
阅读量1.9k 收藏 6
点赞数 2
分类专栏: NGINX 安全 文章标签: nginx 后端 运维
于 2021-06-03 15:17:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/algebra007/article/details/117523014
版权

前两天的工作内容小记。

这两天收到很多弱口令漏洞,因为我们的http转https很多时候都是通过深信服AD来配置的,所以很多修复工作是网络管理员在做。但是个别几个https是通过NGINX代理来做的,因此我这个系统管理员也需要在NGINX上进行漏洞封堵。

收到的弱口令漏洞列表如下:

47 TLS_RSA_WITH_AES_128_CBC_SHA TLS 1.2 
53 TLS_RSA_WITH_AES_256_CBC_SHA TLS 1.2 
60 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS 1.2 
61 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS 1.2 
65 TLS_RSA_WITH_CAMELLIA_128_CBC_SHA TLS 1.2 
132 TLS_RSA_WITH_CAMELLIA_256_CBC_SHA TLS 1.2 
156 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS 1.2 
157 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS 1.2 
186 TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 TLS 1.2 
192 TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 TLS 1.2 
49232 TLS_RSA_WITH_ARIA_128_GCM_SHA256 TLS 1.2 
49233 TLS_RSA_WITH_ARIA_256_GCM_SHA384 TLS 1.2 
49308 TLS_RSA_WITH_AES_128_CCM TLS 1.2 
49309 TLS_RSA_WITH_AES_256_CCM TLS 1.2 
49312 TLS_RSA_WITH_AES_128_CCM_8 TLS 1.2 
49313 TLS_RSA_WITH_AES_256_CCM_8 TLS 1.2

好家伙,支持一堆弱口令加密套件。
网上所采用的方法普遍是列出允许和不允许的一堆列表,比如有这样的

ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;

这样的

ssl_ciphers "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256 EECDH + aRSA + RC4 EECDH EDH + aRSA HIGH!RC4!aNULL!eNULL!LOW!3DES !MD5!EXP!PSK!SRP!DSS";
ssl_prefer_server_ciphers on;

还有这样的

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

这种一长串的几个都失败了,再扫描仍然存在漏洞。最后甚至根据规则,我尝试在字符串后面还加了类似!TLS-RSA-WITH-AES-128-CCM-8这样的内容,仍然是不行,后来查找到了一个靠谱的方法

ssl_ciphers 'AES128+EECDH:AES128+EDH';
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;

搞定,扫描无漏洞。

原因是:

  1. 这一长串里面应该也有需要封堵的弱口令加密套件,网上的资料存在滞后性,以前能通过的协议现在不能通过扫描了。
  2. TLS版本协议也需要设置。

最后做完封堵扫描完没问题,一定要在所有类型的终端(浏览器、手机浏览器)试一下没有问题才行。因为不同的终端对协议的支持是不一样的,有些终端可能存在不支持这些协议的现象,这种情况下还要考虑如何使得终端支持现有加白协议(比如IE换chrome或firefox)。

2022.11.29更新
刚看到有人收藏了,那更新一下。最新的要求AES128也不行了,要AES256

ssl_ciphers 'AES256+EECDH:AES256+EDH';
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
天下溪-algebra
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
配置 Nginx SSL 避免不够安全的加密算法
warrior_wjl的专栏
05-04 4万+
如果Web服务中的SSL
ngnix 漏洞修复文档
03-03
Nginx 漏洞修复文档 Nginx 是一种流行的开源 web 服务器软件,但如果配置不当,可能会出现多种漏洞,影响网站的安全性。以下是 Nginx 漏洞修复文档的相关知识点: 1. X-Content-Type-Options 响应头缺失 X-...
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
深入浅出带你学习Nginx中间件常见漏洞
Spontaneous_0的博客
02-19 1318
深入浅出带你学习Nginx中间件常见漏洞
【精选】弱口令介绍及破解方式
最新发布
heike_Ch的博客
05-08 1343
暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。对于弱口令的破解,穷举法对于简单的口令有着“奇效”,但是对于一般的口令,穷举法的工作量太大;
Nginx从入门到放弃
weixin_51725318的博客
04-15 156
Nginx从入门到放弃
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
Cookie_1030的专栏
07-05 7350
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
nginx 修复TLS1.0,TLS1.1协议漏洞
凝聚力安全团队
02-25 2553
目录 漏洞描述 漏洞检测 漏洞修复 完整配置 漏洞复测 漏洞描述 服务 端口 漏洞名称 加固建议 nginx 443 TLS版本1.0协议检测 启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0的支持。 nginx 443 TLS版本1.1协议检测 启用对TLS 1.2或1.3的支持,并禁用对TLS 1.1的支持。 漏洞检测 >nmap --script ssl-enum-ciphers -p 443 192.
Nginx相关漏洞极其预防1
08-08
Nginx 相关漏洞极其预防 Nginx 是一个流行的 Web 服务器软件,但它也存在一些漏洞,需要我们认真对待和预防。下面我们将对 Nginx 相关漏洞进行详细的分析和预防。 一、文件解析漏洞 文件解析漏洞是指攻击者可以...
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
nginx1.4.0漏洞验证
06-21
测试用到的python文件和linux版本的nginx1.4.0源码
Nginx 的HTTPS配置
数据矿工的博客
11-14 543
#常用命令 nginx -t 测试配置是否正确 nginx -s reload 加载最新配置 nginx -s stop 立即停止 nginx -s quit 优雅停止 nginx -s reopen 重新打开日志 1.加密协议 (1)需要配置符合PFS规范的加密套餐,目前推荐配置:ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL...
SSL证书加密套件常见弱密钥以及修复建议
SSL加密技术
11-02 5846
服务器使用了anonymous套件 匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。 TLS_DH_ANON_WITH_AES_256_GCM_SHA384 TLS_DH_ANON_WITH_AES_128_GCM_SHA256 TLS_DH_ANON_WITH_AES_256_CBC_SHA256 TLS_DH_ANON_WITH_AES_256_
理解 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
H_O_W_E的专栏
06-12 1万+
简单理解TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256的含义
tomcat cipher suiters ssl加密套件配置
w1213096890的博客
03-09 8257
背景知识cipher 是由服务进行端选择的。服务端选择之前会和客户端进行协商,优先选择客户端支持的cipher。如果客户端支持的cipher都不被服务端支持,则通信异常。Tomcat设置cipher的方法为:在server.xml中SSL connector中的ciphers字段中设置相应的套件。Tomcat7.0支持设置cipher的优先顺序,但需要Tomcat 7.0.60以上版本及JAVA ...
网安—https原理--RSA密钥协商算法
weixin_64311421的博客
12-31 1134
https原理--RSA密钥协商算法
nginx 漏洞修复
趴着的猫的博客
03-21 1万+
nginx
Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦之路
筑梦之路
05-24 2863
1.扫描 nmap -sV --script ssl-enum-ciphers -p 443 www.baidu.com nmap --script="ssl-enum-ciphers" -sS -Pn -p 443 www.baidu.com sslscan www.baidu.com 2.nginx ssl配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:.
nginx 基本入门(至今为止见过最好的 nginx 入门文章,没有之一。)
热门推荐
李智正在学习的博客
12-19 3万+
本文转自StuQ 这篇教程简单介绍了 nginx 并且讲解了一些 nginx 可以解决的简单任务。这里,我们假设 nginx 已经安装在读者的机器上。如果没有,可以看一下如何安装 nginx。这篇教程主要讲解的是如果启用和停止 ngixn,和重新加载配置,描述配置文件的基本结构和怎样搭建一个 nginx 静态辅助器,怎样配置 nginx 作为一个代理服务器来。 nginx 有一个主进程和其他子进程
nginx 修复CORS跨域漏洞
05-28
Nginx修复CORS跨域漏洞,可以通过在Nginx配置文件中添加以下代码: ``` location /api { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值