如何在Apache中禁用sslv3

已于 2023-11-07 15:56:08 修改
阅读量2.1k 收藏 2
点赞数
文章标签: linux apache
于 2020-06-03 12:52:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37680131/article/details/106521891
版权

如何在Apache中禁用sslv3

原文来自微信公众号:运维之美,一个涨姿势的公众号!

前言:SSLv3漏洞(CVE-2014-3566),SSL3.0版本被视为是不安全的。它使用RC4加密或CBC模式加密,前者易受偏差攻击,后者会导致POODLE攻击,在生产环境中,经常会扫描到此漏洞,针对此漏洞,需要apache服务器端停用SSLv3协议。

一、环境准备

理解SSL和TLS:http在数据传输过程中使用的是明文,为了解决这个问题https应运而生,ssl就是基于https的加密协议。当ssl更新到3.0版本后,IETF(互联网工程任务组)对ssl3.0进行了标准化,标准化后的协议就是TLS1.0,所以说TLS是SSL的标准化后的产物,TLS当前有1.0 ,1.1,1.2三个版本,默认使用1.0,到此我们对ssl和TLS有了一个基本的了解。

  • web服务器支持TLS1.2需要的服务器运行环境:
Apache对应版本应>=2.2.23;
OpenSSL对应版本应>= 1.0.1
  • 查看当前服务器apache版本
[root@host-192-168-149-10 conf.d]# httpd -v
Server version: Apache/2.4.29 (Unix)
Server built:   Jan 22 2018 16:51:25
  • openssl版本
[root@host-192-168-149-10 conf.d]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

二、环境整改

测试存在安全漏洞的域名,如下通过sslv3访问可以正常返回信息,攻击者可能会利用此漏洞危害系统。

[root@host-192-168-149-10 conf.d]# curl  --sslv3 https://cs.df230.xyz/test/api/configs/fedch/all
{
  "overdue" : false,
  "success" : true,
  "errorCode" : null,
  "message" : "请求成功",
  "data" : {
    "global" : {
      "copyright" : "功能清单",
}

apache默认支持SSLv3,TLSv1,TLSv1.1,TLSv1.2协议

(注:ssl功能需要在http.conf中启用LoadModule ssl_module modules/mod_ssl.so)

apache默认配置如下

SSLProtocol All -SSLv2

进入目录/usr/local/apache/conf/extra

vi修改ssl.conf按照如下配置,目的是关闭sslv3协议

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLProtocol TLSv1.2

配置保存后,需要service httpd restart重启apache使配置生效

再次测试sslv3访问,无法访问

[root@host-192-168-149-10 conf.d]# curl  --sslv3 https://cs.df230.xyz/test/api/configs/fedch/al
curl: (35) SSL connect error

通过google浏览器F12进入开发模式,可以看到浏览器访问当前域名使用的ssl协议为TLS1.2。

运维之美

至此,漏洞整改完成,so easy!

更多文章,请关注微信公众号“运维之美”!
image.png

运维之美@
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
squeeze-lighttpd-poodle:向后移植以允许在 Debian Squeeze 版本的 lighttpd 禁用 SSLv3
07-06
Debian Squeeze 的 lighttpd 贵宾犬第一版 (1.6.1) 补丁以启用ssl.use-sslv3配置选项,以允许 Debian Squeeze 用户解决 CVE-2014-3566(又名 POODLE),而无需升级到 Wheezy。 最初是从原版 lighttpd 1.4.28 -> ...
禁用sslv3协议linux,常见WebServer关闭SSLv3/SSLv2协议的设置方法
weixin_29271053的博客
05-15 2571
常见WebServer(Nginx、Apache、Tomcat)启用HTTP以及关闭不安全协议SSLv3/SSLv2的设置方法,文档整理如下。一、Nginx配置HTTPS1、安装Nginxwget http://nginx.org/download/nginx-1.7.1.tar.gztar zxvf nginx-1.7.1.tar.gzcd nginx-1.7.1/./configure --w...
禁用SSL v2.0、SSL v3.0协议
weixin_33845477的博客
01-13 1万+
1、禁用SSL v2.0、SSL v3.0协议,禁用低强度加密密钥。使用TLS 1 TLSv1.1 TLSv1.2版本。2、禁用SSLv2参考修补方法如下:查看本机sslv3加密列表:openssl ciphers -v 'DEFAULT' | awk '/SSLv3 Kx=(RSA|DH|DH(512))/ { print $1 }'Apache2禁用弱密钥加密算法,参考下列配置参数修改Apac...
rc4加密问题漏洞修复_「ssl漏洞」网站SSL安全漏洞修复指南
weixin_32022555的博客
12-24 2163
前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复。Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export ci...
漏洞建议:实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件
海浪—华的博客
05-14 2240
4月底展开的护网前期准备工作–端口渗透的漏洞结果 通报主机apache-tomcat-7.0.85 存在 不安全的ssl证书,相关问题需要修复整改 漏洞建议:实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件。 目前处理办法: server.xml替换为以下代码 <Connector port="8099" protocol="org.apache.coyote.http11.Http11NioProtocol"
window服务器禁用默认的ssl2.0和ssl3.0,只启用tls1.2保证安全
热门推荐
各自安好、的博客
08-04 1万+
漏洞介绍: TLS/SSL介绍: SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。 SSL3漏洞 2014年10月14号由Google发现的POODLE漏洞,全称是Padding Oracle On Downloaded Legacy Encryption vulnerability,POODLE TLS(CVE-2014-8730)
禁用SSL3.0】window服务器禁用默认的ssl2.0和ssl3.0只启用启用tls1.2保证安全
Zola的博客
01-13 3004
有两种方式 1.直接修改注册表; 2.使用iis工具直接修改。 https说明: SSL/TLS 系列有五种协议:SSL v2,SSL v3,TLS v1.0,TLS v1.1和TLS v1.2: SSL v2 是不安全的,不能使用。 当与 HTTP(POODLE 攻击)一起使用时,SSL v3 是不安全的,当与其他协议一起使用时,SSL v3 是弱的。它也是过时的,不应该被使用。 TLS v1.0 也是不应该使用的传统协议,但在实践通常仍然是必需的。其主要弱点(BEAST)在现代浏览器得到缓解,但其
3 linux禁用ssl_linux – Poodle:在服务器上禁用SSL V3真的是一个解决方案吗?
weixin_42519781的博客
01-14 1458
首先,让我们清楚一点:> TLS取代了SSL. TLS 1.0之后发布,是对SSL 3.0的更新.TLS 1.2> TLS 1.1> TLS 1.0> SSL 3.0> SSL 2.0> SSL 1.0> 3.0之前的SSL版本已经知道一段时间内存在严重的安全漏洞,现代客户端和服务器都禁用/不支持这些漏洞. SSL 3.0很快就会以同样的方式发展.>...
Apache server下停用SSL2.0、SSL3.0、TLS1.0
灵感点滴的分享
12-27 6982
SSL3.0版本被视为是不安全的。它使用RC4加密或CBC模式加密,前者易受偏差攻击,后者会导致POODLE攻击。 apache关闭SSL2.0、SSL3.0、TLS1.0步骤: 找到http.conf配置文件,并将#LoadModule ssl_module modules/mod_ssl.so的"#"删除后存储文件 找到为httpd-ssl.conf的档案并打开文件,搜寻SSLEngin...
Apache停用SSL1.0、SSL2.0、TLS3.0
Alice的博客
11-12 3147
SSL3.0版本被视为是不安全的。它使用RC4加密或CBC模式加密,前者易受偏差攻击,后者会导致POODLE攻击。 apache关闭SSL2.0、SSL3.0、TLS1.0步骤: 1 、找到http.conf配置文件,并将#LoadModule ssl_module modules/mod_ssl.so的"#"删除后存储文件 2、找到为httpd-ssl.conf的档案并打开文件,搜寻SSLEng...
Opera7.23-SSLv3 https可以使用的浏览器
08-07
现在新的浏览器都不支持SSLv3了,但有些情况必须要使用,这个版本的opera可以打开
poodle:SSLv3POODLE漏洞的概念证明
05-03
我们将以poodle-sample-1.py为例来解释此PoC的工作原理,并与在现实世界如何利用它进行并行。 此攻击包含3个组成部分:客户端,服务器和攻击者控制的MitM代理。 由SecureTCPHandler在此处实现的服务器是完全...
sslv2check2.zip
07-16
go调用sslyze检测ssl v2.0
sslv3-diediedie:为什么 SSLv3 不是一个好主意
06-21
SSLv3 不安全 贡献 在提交反馈之前,请熟悉我们当前的问题列表并查看。 如果您对此不熟悉,您可能还想阅读之。 请注意,对规范的所有贡献都属于下面概述的“注意事项”条款。 提供反馈(编辑或设计)和提问的最佳...
Linux多进程(五) 进程池 C++实现
最新发布
Lyajpunov的博客
04-26 489
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux报错处理:‘abrt-cli status’ timed out
Rita_rr的博客
04-23 461
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行、网络问题或配置错误。
linux18:进程等待
m0_73919066的博客
04-20 1080
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 916
vmlinux.lds.S 是 Linux 内核用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
Linux--MyMiniTry--Vim
wrj1472583690的博客
04-26 218
其实记事本的fn + ↑ ctrl + f)(初始的时候没有文本,你怎么按都没有用)
openssl c++ 禁用 sslv3
06-08
在 OpenSSL 禁用 SSLv3,可以通过以下步骤: 1. 首先,需要确保使用的是 OpenSSL 1.0.1 或更高版本,因为在这些版本SSLv3 ...因此,在禁用 SSLv3 之前,请确保您的用户使用的是支持 TLSv1 或更高版本的浏览器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维之美@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值