0

我们正在使用基于 Apache 的基于 UBI 的 HTTP 服务器,我们的配置文件位于标准 RedHat 位置/etc/httpd/conf/httpd.conf

在我们的文件中,我们定义了各种指令,例如:

SSLProtocol TLSv1.2
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM
...
<Files ".ht*">
   Require all denied
</Files>

问题是漏洞顾问扫描向我们报告了问题: - application_configuration:apache.SSLProtocol:指定新连接中接受哪些版本的 SSL/TLS 协议。- application_configuration:apache.SSLCipherSuite:指定允许客户端在 SSL 握手阶段协商的密码套件。- application_configuration:apache.Require - 指定是否拒绝访问.htaccess。此文件可能包含敏感站点信息。

这是扫描仪中没有查看标准 RHEL 路径的缺陷吗?有没有办法配置我们的图像以向扫描仪指示我们的配置文件在哪里?

谢谢你的帮助

4

1 回答 1

0

通常你会在 httpd.conf 的底部包含“IncludeOptional conf.d/*.conf”,然后有一个单独的文件,例如:/etc/httpd/conf.d/ssl.conf,其中包含 SSL/TLS 设置。我还建议使用“ https://www.ssllabs.com/ssltest/index.html ”来验证外部 Web 服务器的 ssl/tls 设置。下面的示例 ssl.conf:

    Listen xx.xx.xx.xx:443 https
    ServerName example.com

<VirtualHost _default_:443>

            SSLEngine on
            SSLProtocol -all +TLSv1.2
            SSLCipherSuite HIGH:!aNULL:!MD5
            SSLHonorCipherOrder on
            SSLCompression off
            SSLUseStapling on

            SSLCertificateFile /etc/pki/tls/certs/server.crt
            SSLCertificateKeyFile /etc/pki/tls/private/server.key
            SSLCACertificateFile /etc/pki/tls/CAfile.pem

</VirtualHost>
于 2020-05-14T18:26:20.737 回答