nginx禁用3DES和DES弱加密算法

已于 2023-08-14 21:27:10 修改
阅读量2.2k 收藏 8
点赞数 5
分类专栏: 系统运维 文章标签: nginx 运维
于 2023-08-13 21:10:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36282029/article/details/132262337
版权

nginx禁用3DES和DES弱加密算法

项目背景

最近护网行动,收到漏洞报告,如下:

漏洞名称SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
详细描述TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。 TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 <*来源:Karthik Bhargavan Gaetan Leurent 链接:https://www.openssl.org/news/secadv/20160922.txt *>
解决办法建议:避免使用IDEA、DES和3DES算法 1、OpenSSL Security Advisory [22 Sep 2016] 链接:https://www.openssl.org/news/secadv/20160922.txt 请在下列网页下载最新版本: https://www.openssl.org/source/ 2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法 主要是修改conf文件 3、Windows系统可以参考如下链接: https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016 https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
威胁分值7.5
危险插件
发现日期2016-08-31
CVE编号CVE-2016-2183
BUGTRAQ92630
NSFOCUS34880
CNNVD编号CNNVD-201608-448
CNCVE编号CNCVE-20162183
CVSS评分5.0
CNVD编号CNVD-2016-06765

解决方案

  • 扫描本机,查看使用算法
yum install -y nmap
nmap -sV -p 443 --script ssl-enum-ciphers 127.0.0.1

在这里插入图片描述

  • 编辑配置文件,修改ssl_ciphers后面的参数
  server {
                listen 443 ssl;
                server_name  www.cookie.com;
                
                ssl_certificate      cert/2022_www.cookie.com.pem;
                ssl_certificate_key  cert/2022_www.cookie.com.key;
                ssl_session_timeout 5m;
                ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!3DES;
                ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
                ssl_prefer_server_ciphers on;
  • 保存退出,重新加载nginx服务
/usr/local/nginx/sbin/nginx -s reload
  • 重新扫描,可以发现3DES算法 已经关闭

在这里插入图片描述

来瓶小白干Oo
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞修复】 CVE Linux 系统应用漏洞修复笔记
张小三的博客
02-07 6397
根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在。启动完成后查看nginx的版本信息,验证nginx的openssl版本号是否已经升级成功。原本我的nginx使用的openssl 版本号为:1.0.2s。结束后在此查询openssl的版本号,验证是否升级成功。目录,使用以下命令下载最新版的安装包到此目录下。将以下的内容替换 nginx 的443配置中的。进入nginx的安装目录下的。目录下启动nginx
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞
最新发布
m0_60635609的博客
04-06 796
链接:https://www.openssl.org/news/secadv/20160922.txt请在下列网页下载最新版本:2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法主要是修改conf文件3、Windows系统可以参考如下链接:验证方法 根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在。
nginx禁用3DESDES加密算法,保证SSL证书安全
Cookie_1030的专栏
07-05 6897
nginx禁用3DESDES加密算法,保证SSL证书安全
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
rainjm的博客
01-11 3833
SSL/TLS协议信息泄露漏洞(CVE-2016-2183) TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。 TLS, SSH, IPSec协商及其他产品中使用DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
Nginx服务器中关于SSL的安全配置详解
01-10
使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy,同时我们还启用HSTS和HPKP。这样我们就有了一个更强、不过时的SSL配置并且我们在Qually ...
DES算法实现 DES.rar
10-25
支持栏目页,正文页独立设置keywords和description 3.支持SQL server快速切换(留给付费用户) 2015-07-27(V1.7.0) 1.简化了栏目编辑时根据不同模型选择模板的过程 2.修正了删除留言出错的BUG 3.修正了...
DES 3DES加密工具(exe)
08-23
用C#写的 加密工具..此处只放出exe如果需要scr可以联系我.bbs.fydzkj.net ->upupsky 就是我..
C#DES&SHA1加密算法
12-11
C#DES加密解密算法,SHA1加密算法
深入浅析nginx四种调度算法和进阶
09-30
主要介绍了深入浅析nginx四种调度算法和进阶,文中给大家提到了upstream 支持4种负载均衡调度算法,需要的朋友可以参考下
Nginx、Apache、Lighttpd禁止目录执行php配置示例
09-30
主要介绍了Nginx、Apache、Lighttpd禁止目录执行php配置示例,本文给出了单个目录、多个目录的禁止执行PHP的方法,需要的朋友可以参考下
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复
皮皮虾的博客
07-26 1万+
SSL/TLS协议信息泄露漏洞(CVE-2016-2183) 详细描述 TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。 TLS, SSH, IPSec协商及其他产品中使用DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 解决办法 建议:避免使用DES算法 1、OpenSSL Security Advisory [22 Sep 2016] 链接:https://www.openssl.org/news/se
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)调查解决
稻草人
02-28 4526
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)调查解决
常见的安全扫描漏洞的工具、漏洞分类及处理
qq_41831448的博客
06-06 8915
1.1. Unix/Linux漏洞 升级相应产商的系统版本或查找对应漏洞的补丁文件1.2. OpenSSH漏洞 OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 安全漏洞(CVE-2021-28041) 修复建议: 一般也是升级相应的OpenSSH版本1.3Nginx漏洞 1.3.1导致拒绝服务漏洞 HTTP/2是超文本传输协议的第二版,主要用于保证客户机与服务器之间的通信。HTTP/2中存在资源管理错误漏洞。攻击
Nginx网络服务的配置
wlc1213812138的博客
06-19 1425
Nginx是一款高性能、轻量级Web服务软件。稳定性高,系统资源消耗低,对HTTP并发连接的处理能力高,单台物理服务器理论上可支持 30 000~50 000 个并发请求,实际约 2~3 万。
禁用3DESDES加密算法,保证SSL证书安全
热门推荐
weixin_39724395的博客
01-03 3万+
apache服务器禁止使用3DES加密算法,在server.xml中添加配置
SSL安全漏洞解决方案
公子公子的博客
08-21 1万+
文章目录前言一、 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)1.详细描述2.解决办法二、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)1.详细描述2.解决办法三、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)1.详细描述2.解决办法总结 前言 上周公司对公网系统进行了安全检查,扫描出了SSL相关漏洞,主要有SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CV
nginx禁用DES解决SSL/TLS协议信息泄露漏洞
weixin_48294817的博客
09-19 557
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
nginx禁止使用DES加密算法
08-29
禁止nginx使用DES加密算法,您可以按照以下步骤进行操作: 1. 打开nginx配置文件,通常是位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。 2. 在配置文件中找到ssl_ciphers参数,该参数用于指定支持的加密算法。 3. 修改ssl_ciphers参数的值,将其设置为不包含DES算法的安全加密算法。可以参考OpenSSL的安全建议和链接[1]中提供的最新版本来确定要使用的安全加密算法。 4. 保存并关闭配置文件。 5. 重新加载或重启nginx服务,使更改生效。 请注意,确保在修改配置文件之前备份原始配置文件,以防止意外情况发生。 另外,如果您想检查nginx当前是否使用DES加密算法,您可以使用nmap工具来扫描服务器的SSL加密套件。通过运行以下命令可以进行扫描:nmap -sV -p 443 --script ssl-enum-ciphers <服务器IP地址> 。 这样,您就可以禁止nginx使用DES加密算法来保护您的服务器安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [nginx禁用3DESDES加密算法,保证SSL证书安全](https://blog.csdn.net/Cookie_1030/article/details/125615374)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值