第7章 強度の低い暗号化の無効化

インフラストラクチャーのセキュリティー要件に応じて、Satellite の暗号化設定を変更したり、脆弱性を素早く修正したりする場合があります。以降のセクションを使用して、強度の低い SSL 暗号化と 64 ビットの暗号スイートを無効にします。

7.1. 強度の低い SSL 2.0 および SSL 3.0 暗号化の無効化

Satellite が SSL の脆弱性が原因で Nessus スキャンを失敗した場合、またはセキュリティーインフラストラクチャーで SSL 2.0 と SSL 3.0 の無効化が必要な場合には、/etc/foreman-installer/custom-hiera.yaml ファイルを編集して、強度の低い暗号化を削除できます。

Satellite の強度の低い SSL 2.0 および SSL 3.0 暗号化を無効にする手順

Satellite で強度の低い暗号化を無効にするには、次の手順を実行します。

  1. /etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。

    # vi /etc/foreman-installer/custom-hiera.yaml
  2. 次のエントリーを追加します。

    # Foreman Proxy
    foreman_proxy::tls_disabled_versions: [ '1.1' ]
    
    # Dynflow
    foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ]
    
    # Apache
    apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ]
    
    # Tomcat / Candlepin
    candlepin::tls_versions: [ '1.2' ]
    
    # QPID Dispatch
    foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ]
    foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'
  3. satellite-installer ツールを引数なしで再実行します。

    # satellite-installer
  4. satellite-maintain サービスを再起動します。

    # satellite-maintain service restart

Capsule の強度の低い SSL 2.0 および SSL 3.0 暗号化を無効にする手順

Capsule の強度の低い暗号化を無効にするには、次の手順を実行します。

  1. /etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。

    # vi /etc/foreman-installer/custom-hiera.yaml
  2. 次のエントリーを追加します。

    # Foreman Proxy
    foreman_proxy::tls_disabled_versions: [ '1.1' ]
    
    # Dynflow
    foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ]
    
    # Apache
    apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ]
    
    # QPID Dispatch
    foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ]
    foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'
    
    # PULP
    pulp::ssl_protocol: "ALL -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2"
  3. satellite-installer ツールを引数なしで再実行します。

    # satellite-installer
  4. satellite-maintain サービスを再起動します。

    # satellite-maintain service restart

7.2. 64 ビットブロックサイズ暗号スイート (SWEET32) の無効化

Satellite の暗号スイートを更新する場合は、暗号を編集してから、/etc/foreman-installer/custom-hiera.yaml ファイルに変更を加え、これらの変更を永続化します。

暗号スイートを更新するには、次の手順を使用できます。

以下の暗号のブラウザー最小要件は、Firefox 27 です。

  1. /etc/httpd/conf.d/ssl.conf Apache 設定ファイルを開いて、編集します。

    # vi /etc/httpd/conf.d/ssl.conf
  2. SSLCipherSuite パラメーターの値を更新します。

    SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
  3. httpd サービスを再起動します。

    # systemctl restart httpd
  4. 別の satellite-installer 実行で変更を永続化するには、/etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。

    # vi /etc/foreman-installer/custom-hiera.yaml
  5. apache の次のエントリーを追加します。

    apache::mod::ssl::ssl_cipher: ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
  6. satellite-installer ツールを実行して、Apache の設定を変更します。

    # satellite-installer --scenario satellite