1

当我的服务器被扫描 PCI 合规性时,我收到了这个错误。我想知道是否可能是因为我关闭了 iptables。在我确定它会通过之前,我不想让他们再次扫描它。我的第一个问题是,有什么方法可以自己扫描吗?我的另一个问题是,关闭 iptables 是否是实际问题?

以下是我遇到的一些错误:

  • TCP 443 https - 远程服务支持使用弱 SSL 密码
  • TCP 465 urd - 远程服务接受使用 SSL 2.0 加密的连接
  • TCP 993 imaps - 远程服务使用具有已知弱点的协议加密流量
  • TCP 995 pop3s - 远程服务接受使用 SSL 2.0 加密的连接

谢谢你的时间。

4

2 回答 2

0

这些错误与 iptables 没有任何关系——它们表明突出显示的服务被配置为以弱或不安全的方式支持 SSL。

但是,如果您不打算向外界提供邮件服务,那么您应该禁用分别在端口 465、993 和 995 上运行的 SMTPS、IMAPS 和 POP3S 服务(或使用 iptables 阻止它们)。

此外,假设您确实打算提供 HTTPS 服务,您将需要修复您正在侦听的 Web 服务器的 SSL 配置。您需要将其配置为仅支持 TLS 1.0 连接,并且仅支持强密码。要获得这方面的帮助,ServerFault是正确的站点。

于 2010-12-29T06:14:15.950 回答
0

如果您使用的是 Apache,则需要调整 ssl.conf 文件中的一些设置。重要的是 SSLProtocol 和 SSLCipherSuite。以下设置对我有用,但 YMMV。您可能需要将这些添加到您站点的 VirtualHost 容器中,而不是简单地调整默认容器中的现有容器。

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:!MEDIUM:+HIGH

尝试这些,然后使用下面的扫描工具之一进行免费扫描,以查看您的网站提供的密码......

https://www.ssllabs.com/ssldb/index.html

http://www.serversniff.net/content.php?do=ssl

http://www.sslshopper.com/ssl-checker.html

于 2011-04-24T20:41:49.197 回答