【系统安全】服务器支持以下较弱的密码套件
- 工作小总结
- 时间:2023-07-03 15:09
- 2299人已阅读
🔔🔔好消息!好消息!🔔🔔
有需要的朋友👉:微信号
问题:检测到弱密码:并非所有密码套件均支持完全前向报名
严重性:中
风险:可能会窃取或操纵客户会话和 cookie,它们可能用于假冒合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
原因:Web 服务器或应用程序服务器是以不安全的方式配置的
固定值:更改服务器的受支持密码套件
如果你要禁用较弱的密码套件,可以按照以下步骤在nginx.conf中进行设置:
1、打开nginx.conf文件。该文件通常位于nginx安装目录下的/conf目录中。
2、到ssl_ciphers指令。在服务器块或http块中,使用"ssl_ciphers"指令来指定所支持的密码套件。
该指令的值是一个字符串,包含一系列密码套件名称,以冒号进行分隔。
要禁用较弱的密码套件,可以修改该值将其设置为只包含较强密码套件的名称。例如,可以将指令的值修改为:
ssl_ciphers EECDH+CHACHA20:EECDH+AESGCM:EECDH+AES;
上述配置将只允许使用较强的密码套件,如CHACHA20、AESGCM和AES。
3、如果你还想禁用CBC模式的密码套件
(如RSA_WITH_AES_128_CBC_SHA和RSA_WITH_AES_256_CBC_SHA),
可以在上面步骤的基础上添加ssl_prefer_server_ciphers指令,并将其设置为"on"。
如果设置为"on",nginx将优先使用服务器端定义的密码套件列表,而不接受客户端的密码套件列表。
ssl_prefer_server_ciphers on;
4、保存并关闭nginx.conf文件。
5;重新启动nginx服务。在修改配置后,需要重新启动nginx服务以使更改生效。可以在命令行中运行以下命令:
sudo service nginx restart
请注意,通过禁用较弱的密码套件,可以提高服务器的安全性。请根据实际情况选择适当的密码套件配置,并确保不会影响到与该服务器交互的客户端的兼容性。
上一篇: 【系统安全】支持较老的TLS版本