GNU/Linux >> Linux Esercitazione >  >> Linux

Come risolvere la vulnerabilità DROWN nel server Web Apache/NGINX e SMTP?

Ecco un'ultima vulnerabilità chiamata DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) che mira ad attaccare i server utilizzando il protocollo SSL versione 2.0 (SSLv2) debole per HTTPs, SMTP, IMAP, POP ecc... Fondamentalmente qualsiasi servizio che utilizza SSL/TLS è soggetto a essere vulnerabile su SSLv2 . DROWN consente a un utente malintenzionato di decrittografare la comunicazione (ottenendo la chiave privata) crittografata utilizzando il certificato SSL basato su RSA, se è possibile raccogliere un numero sufficiente di dati di handshake SSLv2. DROWN può influenzare direttamente i server che utilizzano un protocollo SSLv2 debole, tuttavia richiede circa 1000 handshake SSL da intercettare.

Come testare il tuo server contro la vulnerabilità DROWN?

Passa rapidamente a questo link per testare il tuo server contro l'attacco di vulnerabilità DROWN.

Ecco un'interfaccia web, in cui puoi digitare l'indirizzo del tuo sito web e fare clic sul pulsante "Verifica vulnerabilità DROWN".

Come risolvere la vulnerabilità DROWN nei server Web Apache e Nginx?

In Apache: 

$ sudo vim /etc/httpd/conf/httpd.conf

(o)

$ sudo vim /etc/httpd/conf.d/ssl.conf

e aggiungi -SSLv2 e -SSLv3 come mostrato di seguito:

SSLProtocol all -SSLv2 -SSLv3

Nota: L'impostazione precedente consiglia di disabilitare sia SSLv2 che SSLv3. Sebbene SSLv3 non sia vulnerabile all'attacco DROWN, si consiglia vivamente di disabilitare SSLv3 poiché è vulnerabile ad altri tipi di attacco.

Riavvia il server web:

$ sudo /etc/init.d/httpd restart

In Nginx: 

$ sudo vim /etc/nginx/nginx.conf

Cerca la riga sottostante:

ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;

e rimuove SSLv2 e SSLv3 come mostrato di seguito:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Riavvia il servizio Nginx.

Come risolvere la vulnerabilità DOWN in SMTP – Postfix?

$ sudo vim /etc/postfix/master.cf

e imposta le seguenti righe. Qui, il (!) rimuove i protocolli SSLv2 e SSLv3.

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Nota:ricorda di apportare questa modifica in ogni servizio che utilizza SSL.

Aggiorna anche OpenSSL all'ultima versione:

# yum update openssl*

Linux

  1. Che cos'è un server Web e come funziona un server Web?

  2. Come installare Nginx Web Server su Linux

  3. Come avviare, riavviare e arrestare il server Web Apache

  4. Come installare il server Web Apache su Ubuntu

  5. Come installare e configurare il server Web Apache su Ubuntu 13.10

Come ospitare un sito Web su un server Web Apache

Come modificare la porta di WordPress in Apache e Nginx

Come installare Nginx Web Server su Alpine Linux

Come aggiungere il supporto PHP-FPM su Apache e Nginx Web Server su Ubuntu 18.04

Come configurare la cache Nginx su un server LAMP

Come installare e configurare un server Web LAMP su Ubuntu 18.04