我们使用的是基于UBI的HTTP服务器,使用Apache,我们的配置文件位于标准的RedHat位置。/etc/httpd/conf/httpd.conf
在我们的文件中,我们定义了各种指令,如以下。
SSLProtocol TLSv1.2
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM
...
<Files ".ht*">
Require all denied
</Files>
问题是Vulnerability Advisor扫描报告我们的问题: - application_configuration:apache.SSLProtocol.指定新连接中接受哪些版本的SSLTLS协议。指定在新的连接中接受哪些版本的SSLTLS协议.- application_configuration:apache.SSLCipherSuite: 指定允许客户端在SSL握手阶段协商的密码套件。 - application_configuration:apache.Require -指定是否拒绝访问.htaccess。这个文件可能包含敏感的网站信息。
這是否是掃瞄器的缺陷,因為它沒有在標準的RHEL路徑內尋找呢?
谢谢你的帮助
通常你会在httpd.conf的底部包含 "IncludeOptional conf.d*.conf",然后有一个单独的文件,如:etchttpdconf.dssl.conf,其中包含SSLTLS设置。我还建议在httpd.conf底部使用"https:/www.ssllabs.comssltestindex.html"来验证外部Web服务器的ssltls设置。下面的ssl.conf示例。
Listen xx.xx.xx.xx:443 https
ServerName example.com
<VirtualHost _default_:443>
SSLEngine on
SSLProtocol -all +TLSv1.2
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on
SSLCompression off
SSLUseStapling on
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/private/server.key
SSLCACertificateFile /etc/pki/tls/CAfile.pem
</VirtualHost>