SSLCipherSuites, ServerSignature Penetration Test

SSLCipherSuites, ServerSignature Penetration Test

Postby minderadrian » Mon Jan 06, 2014 10:01 am

Hallo alle zusammen

Nach einem Penetration Test muss ich nun einige "Löcher" stopfen.

1. ) php.ini "expose_php = On" auf "expose_php = Off" setzen. Hat funktioniert!

2.) Alias /phpmyadmin auf z.B. de45tuz67 setzen, dass niemand auf mein phpmyadmin kommt. Hat auch funktioniert!

3.) Per default unterstützt securewamp auch schwache SSLCipher Suites mit 40 und 56 Bit. Das darf nicht sein.
Also habe ich die ungefähr 20 *.conf files nach SSLCipherSuites durchsucht, gefunden und durch:

SSLCipherSuite -ALL:!ADH:!EXPORT56:+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL

ersetzt. Neu gestartet ==>unterstützt aber immer noch schwache Ciphers.

Dasselbe mit ServerSignature=On auf Off gesetzt. Trotzdem ServerSignature geht immer noch raus.

Wenn ich:

ServerSignature Off
ServerTokens Prod
SSLCipherSuite -ALL:!ADH:!EXPORT56:+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL

am Schluss eines jeden *.conf files anhänge funktionierte es einmal bei der zweiten neuaufsetzung startet der Apache wieder nicht mehr.

Also meine Frage:

Wie geht man da systematisch sauber vor im Dschungel der conf-files dass es funktioniert.

Viele Grüsse und ein Gutes neues Jahr an alle

Adrian Minder
minderadrian
 
Posts: 4
Joined: Fri Sep 20, 2013 12:45 pm


Re: SSLCipherSuites, ServerSignature Penetration Test

Postby minderadrian » Wed Jan 08, 2014 7:52 pm

Hallo

Habs rausgefunden. Keine Antwort mehr nötig.

Gruss
minderadrian
 
Posts: 4
Joined: Fri Sep 20, 2013 12:45 pm



Return to Apache

Who is online

Users browsing this forum: No registered users and 1 guest