sshdのCBC modeを無効化する

sshdが脆弱なCBC modeによる暗号化を受け付けているのでけしからん,とネットワーク管理者に指摘されました。ご無理ごもっともですので,/etc/ssh/sshd_configに以下の設定を追加してCBC modeと脆弱なMACアルゴリズム(MD5と-96)を無効化しました。

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128
MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160

たぶん,これでOKなはずです。

やってもやっても脆弱性がでてきます。うーむ。
posted by MOR at 06:00Comment(0)Computer

apacheのセキュアな設定

某所で運用しているApacheによるhttpdサーバーについてネットワーク管理者から物言いがつきました。以前もボロカス怒られたので,それをすっかり修正して,改めてポートスキャンをかけたらまたまた新しい脆弱性が出た,とのこと。前に言っといてくれよ,というような話なのですが,ポートスキャナのほうもバージョンアップしていろいろと「気づき」が増えているのでしょう。結構なことです。

で,怒られたのは,
1) ApacheとPHPのバージョンを開示してるからダメ,
2) Trace methodが有効になってるからダメ,
というものでした。はい。すいません。おっしゃる通りです。私が悪うございました。

httpd.confに

# Security settings
Include etc/apache24/extra/security-local.conf

というのを追加して,extract/security-local.confというファイルを作成して,そのなかに,

# hide version information
ServerTokens Prod
ServerSignature Off
Header unset "X-Powered-By"

# against Clickjacking
Header append X-Frame-Options SAMEORIGIN

# disable trace method
TraceEnable Off

と書いて保存後,httpdを再起動してとりあえずバージョンが見えないようにしました。ただ,
Server: Apache
は答えてしまうのでApacheが動いているというのは見えちゃうのですが...
posted by MOR at 18:56Comment(0)Computer