Openldap TLSCipherSuite को कॉन्फ़िगर करने की कोशिश कर रहा है


1

मेरे पास एक ओपनडैप सर्वर है, और मैं अपनी TLSCipherSuiteसेटिंग्स को धुनने की कोशिश कर रहा हूं क्योंकि मैं उन्हें सुरक्षित रख सकता हूं।

कृपया मेरी वास्तविक सुरक्षा सेटिंग्स की आलोचना न करें। कृपया मुझे समझने में मदद करें कि क्या हो रहा है।

मैं /etc/openldap/slapd.confफ़ाइल का संपादन कर रहा हूँ , और मैं slaptestउस फ़ाइल को /etc/openldap/slapd.dविन्यास निर्देशिका में परिवर्तित करने के लिए उपयोग कर रहा हूँ । मैं उपयोग के sslscanलिए उपलब्ध सिफर को सूचीबद्ध करने के लिए उपयोग कर रहा हूं ।

मैंने शुरुआत की

TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3

और sslscanमुझे बताता है

$ sslscan --no-failed hostname:636  | grep Accepted
Accepted  SSLv3  256 bits  DHE-RSA-AES256-SHA
Accepted  SSLv3  256 bits  DHE-RSA-CAMELLIA256-SHA
Accepted  SSLv3  256 bits  AES256-SHA
Accepted  SSLv3  256 bits  CAMELLIA256-SHA
[...]
Accepted  TLS12  112 bits  DES-CBC3-SHA
Accepted  TLS12  112 bits  ECDHE-RSA-RC4-SHA
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
72

वहाँ से, मैंने मेडम को निकाल लिया

TLSCipherSuite HIGH:-SSLv2:+SSLv3

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
57

बेहतर। तब मैंने SHA1 को हटाने की कोशिश की, और यहाँ मैं पूरी तरह से भ्रमित हो गया हूँ।

TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
91

$ sslscan --no-failed hostname:636  | grep Accepted
[...]
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5
Accepted  TLS12  56 bits   EDH-RSA-DES-CBC-SHA
Accepted  TLS12  56 bits   DES-CBC-SHA
Accepted  TLS12  0 bits    ECDHE-RSA-NULL-SHA
Accepted  TLS12  0 bits    NULL-SHA
Accepted  TLS12  0 bits    NULL-MD5

तो मेरा सवाल है ... यहाँ क्या हुआ, कि मैंने अपनी स्वीकृत सूची से कुछ सिफर निकालने की कोशिश की , और इसके बजाय, मैंने एक गुच्छा जोड़ा ? मैंने गलत क्या किया?

फिर, कृपया मेरी वास्तविक सुरक्षा सेटिंग्स की आलोचना न करें। कृपया मुझे समझने में मदद करें कि क्या हो रहा है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.