如何在389目录服务器上禁用空密码和弱密码
我正在CentOS上运行389-DS。版本-‘389-ds-base.i 686 1.2.11.15-34.el6_5’。安全扫描显示,在389和636港口发现了NullCiphers。
我试图通过关闭DS、在all /etc/dirsrv/slapd-/dse.ldif‘文件上编辑'nsSSL3Ciphers’并启动DS来禁用它们。nsSSL3Ciphers现在看起来像这样-
modifyTimestamp: 20140915221826Z
nsSSL3Ciphers: -rsa_null_md5,+rsa_rc4_128_md5,+rsa_rc4_40_md5,+rsa_rc2_40_md5,
+rsa_des_sha,+rsa_fips_des_sha,+rsa_3des_sha,+rsa_fips_3des_sha,+fortezza,+fo
rtezza_rc4_128_sha,-fortezza_null,+tls_rsa_export1024_with_rc4_56_sha,+tls_rs
a_export1024_with_des_cbc_sha
numSubordinates: 1扫描仍在显示这两个端口上的空密码。
Here is the list of null SSL ciphers supported by the remote server :
Null Ciphers (no encryption)
TLSv1
NULL-SHA Kx=RSA Au=RSA Enc=None Mac=SHA1
The fields above are :
{OpenSSL ciphername}
Port
389 / tcp / ldap
636 / tcp / ldap 对我如何禁用这些空密码有什么想法吗?
回答 2
Server Fault用户
发布于 2014-10-09 05:55:26
您可以按照其他答案中的建议手动修复密码,或者,在适用的情况下,只需升级到FreeIPA 4.0.3,它可以立即修复密码(上游客票)。
这就是我在FreeIPA 4.0.3或4.1.0 Alpha1中得到的结果:
# nmap --script ssl-cert,ssl-enum-ciphers -p 636 `hostname`
Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-09 01:52 EDT
Nmap scan report for ipa.mkosek-rhel71.test (10.16.78.57)
Host is up (0.000092s latency).
PORT STATE SERVICE
636/tcp open ldapssl
| ssl-cert: Subject: commonName=ipa.mkosek-rhel71.test/organizationName=MKOSEK-RHEL71.TEST
| Issuer: commonName=Certificate Authority/organizationName=MKOSEK-RHEL71.TEST
| Public Key type: rsa
| Public Key bits: 2048
| Not valid before: 2014-10-09T04:52:15+00:00
| Not valid after: 2016-10-09T04:52:15+00:00
| MD5: 0fc7 afd6 343b 9e51 abd0 3ba1 7bde 3c25
|_SHA-1: 246a 02f2 1663 3ca9 e97b cdd4 887e 6e10 7685 5627
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
| TLS_RSA_WITH_SEED_CBC_SHA - strong
| compressors:
| NULL
|_ least strength: strong
Nmap done: 1 IP address (1 host up) scanned in 0.91 secondsServer Fault用户
发布于 2014-10-08 05:07:25
您必须使用LDAP浏览器(如)来修改您的配置或内置的LDAP实用程序ldapmodify。我将概述使用ldapmodify的步骤,因为如果您选择使用UI工具,它将有助于使用。
要使用ldapmodify,首先创建一个具有特定语法的ldif文件,然后导入它。请注意,该文件有“替换:”洒在它。这个具体的示例是修改cn=encryption、cn=config中的内容,您也可以使用LDAP浏览器查看和修改这些内容。该文件如下所示:
dn: cn=encryption,cn=config
changetype: modify
replace: nsSSL3
nsSSL3: off
-
replace: nsSSL2
nsSSL2: off
-
replace: nsSSL3Ciphers
nsSSL3Ciphers: nsSSL3Ciphers: -rc4,-rc4export,-rc2,-rc2export,-des,-desede3,-rsa_rc4_128_md5,+rsa_rc4_128_sha,+rsa_3des_sha,-rsa_des_sha,+rsa_fips_3des_sha,+fips_3des_sha,-rsa_fips_des_sha,-fips_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,-tls_rsa_export1024_with_rc4_56_sha,-rsa_rc4_56_sha,-tls_rsa_export1024_with_des_cbc_sha,-rsa_des_56_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-dhe_dss_des_sha,+dhe_dss_3des_sha,-dhe_rsa_des_sha,+dhe_rsa_3des_sha,+tls_rsa_aes_128_sha,+rsa_aes_128_sha,+tls_dhe_dss_aes_128_sha,+tls_dhe_rsa_aes_128_sha,+tls_rsa_aes_256_sha,+rsa_aes_256_sha,+tls_dhe_dss_aes_256_sha,+tls_dhe_rsa_aes_256_sha,+tls_dhe_dss_1024_rc4_sha,+tls_dhe_dss_rc4_128_sha您可以将文件应用于LDAP服务器,如下所示:
-x -D "cn=directory manager“-W -f no_null_cipher.ldif
我不能说这些精确的命令是否适用于您的特定设置,但这将使您走上正确的轨道。您的模式可能是不同的,因此cn=encryption、cn=config可能不在哪里进行更改。只是要非常小心,如果可能的话,测试你正在做的事情。
https://serverfault.com/questions/634339
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号