第7章 強度の低い暗号化の無効化
インフラストラクチャーのセキュリティー要件に応じて、Satellite の暗号化設定を変更したり、脆弱性を素早く修正したりする場合があります。弱い SSL 暗号化および 64 ビットの暗号スイートを無効にするには、以下のセクションを使用します。
7.1. 強度の低い SSL 2.0 および SSL 3.0 暗号化の無効化
Satellite が SSL の脆弱性が原因で Nessus スキャンに失敗した場合や、セキュリティーインフラストラクチャーで SSL 2.0 および SSL 3.0 を無効にする必要がある場合は、/etc/foreman-installer/custom-hiera.yaml
ファイルを編集して、強度の低い暗号化を削除できます。
Satellite の強度の低い SSL 2.0 および SSL 3.0 暗号化を無効にする手順
Satellite で強度の低い暗号化を無効にするには、次の手順を実行します。
/etc/foreman-installer/custom-hiera.yaml
ファイルを開いて、編集します。# vi /etc/foreman-installer/custom-hiera.yaml
以下のエントリーを追加します。
# Foreman Proxy foreman_proxy::tls_disabled_versions: [ '1.1' ] # Dynflow foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ] # Apache apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ] # Tomcat / Candlepin candlepin::tls_versions: [ '1.2' ] # QPID Dispatch foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ] foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'
引数なしで
satellite-installer
ツールを再実行します。# satellite-installer
satellite-maintain
サービスを再起動します。# satellite-maintain service restart
Capsule の強度の低い SSL 2.0 および SSL 3.0 暗号化を無効にする手順
Capsule の強度の低い暗号化を無効にするには、次の手順を実行します。
/etc/foreman-installer/custom-hiera.yaml
ファイルを開いて、編集します。# vi /etc/foreman-installer/custom-hiera.yaml
以下のエントリーを追加します。
# Foreman Proxy foreman_proxy::tls_disabled_versions: [ '1.1' ] # Dynflow foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ] # Apache apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ] # QPID Dispatch foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ] foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA' # PULP pulp::ssl_protocol: "ALL -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2"
引数なしで
satellite-installer
ツールを再実行します。# satellite-installer
satellite-maintain
サービスを再起動します。# satellite-maintain service restart