푸들 문제를 피하기 위해 SSLv3을 비활성화하려고 합니다. 다음 지침을 가이드로 사용하고 있습니다.https://access.redhat.com/solutions/1232413
구성 파일에 다음 줄을 적용했습니다.
SSLProtocol All -SSLv2 -SSLv3
아파치를 다시 시작했지만 여전히 취약한 것 같습니다. 이 도구를 사용하여 다음을 확인하고 있습니다.https://access.redhat.com/labs/poodle/
또한 SSL이 다른 곳에서는 활성화되지 않았는지 확인하기 위해 grep을 실행했지만 그렇지 않았습니다.
나는 다음 기사를 보았다:Apache에서 SSLv3을 비활성화하는 방법은 무엇입니까?, 허용되는 답변에 따르면 각 vhost 섹션에 위 줄을 넣어야 한다고 나와 있는데, 이것이 사실인가요? 이 서버에 다른 웹 호스트가 있지만 보안이 필요합니다.
** 편집: SSL 참조를 사용하여 사이트에 대한 정리된 구성 파일을 추가했습니다. **
<VirtualHost *:80>
ServerAdmin [email protected]
DocumentRoot "/html/xxxxxx.xxxxxx.xxx"
ServerAlias xxxxxx.xxxxxx.xxx
ServerAlias xxxxxx.xxxxxx.xxx
ServerName xxxxxx.xxxxxx.xxx
ErrorLog logs/xxxxxx.xxxxxx.xxx-error_log
CustomLog logs/xxxxxx.xxxxxx.xxx-access_log common
</VirtualHost>
<VirtualHost *:443>
ServerAdmin [email protected]
DocumentRoot "/html/xxxxxxxxxxx/xxxxxx”
ServerAlias xxxxxx.xxxxxx.xxx
ServerAlias xxxxxx.xxxxxx.xxx
ServerName xxxxxx.xxxxxx.xxx
ErrorLog logs/xxxxxx.xxxxxx.xxx-error_log
CustomLog logs/xxxxxx.xxxxxx.xxx-access_log common
SSLEngine on
SSLCertificateFile /path/to/cert/xxxxxx.xxxxxx.xxx.crt
SSLCertificateKeyFile /path/to/key/xxxxxx.xxxxxx.xxx.key
SSLCertificateChainFile /path/to/chain/xxxxxx.xxxxxx.xxx.ca
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
<Directory "/html/xxxxxx.xxxxxx.xxx">
DirectoryIndex index.php index.htm index.html
Options -Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
내 다른 가상 호스트 파일은 포트 80에 대한 표준 구성일 뿐이며 특별한 것은 없습니다.
sudo 서비스 httpd configtest는 구문 OK를 반환합니다.
답변1
문제를 해결했는데 다음 줄을 추가해야 했습니다.
SSLProtocol all -SSLv2 -SSLv3
/etc/httpd/conf.d/ssl.conf에서
어떤 이유로 가상 호스트 구성의 설정이 우선 순위를 갖지 않습니다.
답변2
모든 HTTPS 가상 호스트를 찾는 데 사용하는 한 가지 방법은 httpd/apache2 디렉터리의 모든 구성 파일을 재귀적으로 grep하는 것입니다.
/etc/apache2# grep -nR 'SSLEngine on' .