centos/apache2: Wie kriege ich SSLv2 deaktiviert?!

14/07/2009 - 15:37 von Steven Varco | Report spam
Hi Community

Eine simple Aufgabe: SSLv2 soll auf einem centos host deaktivert werden.

Nichts einfacher als das, denkt sich der routinierte admin und ersetzt
in /etc/

die Zeile:
SSLProtocol all -SSLv2
durch:
SSLProtocol -ALL +SSLv3 +TLSv1

Sowie:
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
durch:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Dann httpd neu starten, mit: openssl s_client -connect localhost:443
-ssl2 testen und

...DAS SSLv2 CERT WIRD FÖRLICH ANGENOMMEN:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
New, SSLv2, Cipher is DES-CBC3-MD5
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ok, vileicht wurde ja ein config file übersehen, also gleich mal so was wie:
# find /etc/httpd/ |xargs grep Cipher; find /etc/httpd/ |xargs grep
SSLProtocol:
-
conf.d/ssl.conf:# SSL Cipher Suite:
conf.d/ssl.conf:#SSLCipherSuite
ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
conf.d/ssl.conf:SSLCipherSuite
ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
vhosts.d/00_default_ssl_vhost.conf:# SSL Cipher Suite:
vhosts.d/00_default_ssl_vhost.conf:#SSLCipherSuite
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
vhosts.d/00_default_ssl_vhost.conf:SSLCipherSuite
ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
conf.d/ssl.conf:#SSLProtocol all -SSLv2
conf.d/ssl.conf:SSLProtocol -ALL +SSLv3 +TLSv1
vhosts.d/00_default_ssl_vhost.conf:SSLProtocol -ALL +SSLv3 +TLSv1
-

Striped man die Kommentarzeichen weg, ergibt sich noch:
-
conf.d/ssl.conf:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

vhosts.d/00_default_ssl_vhost.conf:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

conf.d/ssl.conf:
SSLProtocol -ALL +SSLv3 +TLSv1

vhosts.d/00_default_ssl_vhost.conf:
SSLProtocol -ALL +SSLv3 +TLSv1
-

Ok, dann war vieleicht der apache nicht richtig neu gestartet worden,
also ganzer server rebooten und testen - Aber wieder fehlanzeige. :-(

Aber nicht verzagen, newsgroup fragen! ;-)

Also, weiss jemand wie ich SSLv2 auf dem apache2 endlich abgeschltet
kriege - Und as am besten ohne apache neu zu kompilieren und ohne
"tunnel lösungen"? ;-)

Vielen Dank schon mal,

Steven

[ ] /dev/sleep support (obsolete)
[x] /dev/caffeine support (NEW!)
www.varco.ch
 

Lesen sie die antworten

#1 Heiko Schlenker
14/07/2009 - 15:42 | Warnen spam
* Steven Varco schrieb:

Aber nicht verzagen, newsgroup fragen! ;-)



Allerdings sollte man die richtige fragen: de.comm.software.webserver

Gruß, Heiko
Neu im Usenet? -> http://www.kirchwitz.de/~amk/dni/
Linux-Anfànger(in)? -> http://www.dcoul.de/infos/
Fragen zu KDE/GNOME? -> de.comp.os.unix.apps.{kde,gnome}
Passende Newsgroup gesucht? -> http://groups.google.com/search?as_umsgid=

Ähnliche fragen