第7章 強度の弱い暗号化の無効化
インフラストラクチャーのセキュリティー要件に応じて、Satellite の暗号化設定を変更したり、脆弱性を素早く修正したりする場合があります。以降のセクションを使用して、強度の弱い SSL 暗号化と 64 ビットの暗号スイートを無効にします。
7.1. 強度の弱い SSL 2.0 および SSL 3.0 暗号化の無効化
Satellite が SSL の脆弱性が原因で Nessus スキャンを失敗した場合、またはセキュリティーインフラストラクチャーで SSL 2.0 と SSL 3.0 の無効化が必要な場合には、/etc/foreman-installer/custom-hiera.yaml ファイルを編集して、強度の弱い暗号化を削除できます。
Satellite の強度の弱い SSL 2.0 および SSL 3.0 暗号化を無効にする手順
Satellite で強度の弱い暗号化を無効にするには、次の手順を実行します。
/etc/foreman-installer/custom-hiera.yamlファイルを開いて、編集します。# vi /etc/foreman-installer/custom-hiera.yaml
次のエントリーを追加します。
# Foreman Proxy foreman_proxy::tls_disabled_versions: [ '1.1' ] # Dynflow foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ] # Apache apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ] # Tomcat / Candlepin candlepin::tls_versions: [ '1.2' ] # QPID Dispatch foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ] foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'
satellite-installerツールを引数なしで再実行します。# satellite-installer --scenario satellite
Katello サービスを再起動します。
# katello-service restart
Capsule の強度の弱い SSL 2.0 および SSL 3.0 暗号化を無効にする手順
Capsule の強度の弱い暗号化を無効にするには、次の手順を実行します。
/etc/foreman-installer/custom-hiera.yamlファイルを開いて、編集します。# vi /etc/foreman-installer/custom-hiera.yaml
次のエントリーを追加します。
# Foreman Proxy foreman_proxy::tls_disabled_versions: [ '1.1' ] # Dynflow foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ] # Apache apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ] # QPID Dispatch foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ] foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA' # PULP pulp::ssl_protocol: "ALL -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2"
satellite-installerツールを引数なしで再実行します。# satellite-installer --scenario capsule
Katello サービスを再起動します。
# katello-service restart
7.2. 64 ビットブロックサイズ暗号スイート (SWEET32) の無効化
Satellite の暗号スイートを更新する場合は、暗号を編集してから、/etc/foreman-installer/custom-hiera.yaml ファイルに変更を加え、これらの変更を永続化します。
暗号スイートを更新するには、次の手順を使用できます。
BZ#1586271 が解決されるまで、SSL 64 ビットブロックサイズ暗号スイート (SWEET32) を無効にすることをお勧めします。ただし、以下の手順を使用して、他の暗号を更新し、これらの変更を永続化することもできます。
以下の暗号のブラウザー最小要件は、Firefox 27 です。
/etc/httpd/conf.d/ssl.confApache 設定ファイルを開いて、編集します。# vi /etc/httpd/conf.d/ssl.conf
SSLCipherSuiteパラメーターの値を更新します。SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
httpd サービスを再起動します。
# systemctl restart httpd
別の satellite-installer 実行で変更を永続化するには、
/etc/foreman-installer/custom-hiera.yamlファイルを開いて、編集します。# vi /etc/foreman-installer/custom-hiera.yaml
apacheの次のエントリーを追加します。apache::mod::ssl::ssl_cipher: ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
satellite-installerツールを実行して、Apache の設定を変更します。# satellite-installer -S satellite