SSLCipherSuites, ServerSignature Penetration Test

Post Reply
minderadrian
Posts: 4
Joined: Fri Sep 20, 2013 12:45 pm

SSLCipherSuites, ServerSignature Penetration Test

Post by minderadrian »

Hallo alle zusammen

Nach einem Penetration Test muss ich nun einige "Löcher" stopfen.

1. ) php.ini "expose_php = On" auf "expose_php = Off" setzen. Hat funktioniert!

2.) Alias /phpmyadmin auf z.B. de45tuz67 setzen, dass niemand auf mein phpmyadmin kommt. Hat auch funktioniert!

3.) Per default unterstützt securewamp auch schwache SSLCipher Suites mit 40 und 56 Bit. Das darf nicht sein.
Also habe ich die ungefähr 20 *.conf files nach SSLCipherSuites durchsucht, gefunden und durch:

SSLCipherSuite -ALL:!ADH:!EXPORT56:+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL

ersetzt. Neu gestartet ==>unterstützt aber immer noch schwache Ciphers.

Dasselbe mit ServerSignature=On auf Off gesetzt. Trotzdem ServerSignature geht immer noch raus.

Wenn ich:

ServerSignature Off
ServerTokens Prod
SSLCipherSuite -ALL:!ADH:!EXPORT56:+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL

am Schluss eines jeden *.conf files anhänge funktionierte es einmal bei der zweiten neuaufsetzung startet der Apache wieder nicht mehr.

Also meine Frage:

Wie geht man da systematisch sauber vor im Dschungel der conf-files dass es funktioniert.

Viele Grüsse und ein Gutes neues Jahr an alle

Adrian Minder
minderadrian
Posts: 4
Joined: Fri Sep 20, 2013 12:45 pm

Re: SSLCipherSuites, ServerSignature Penetration Test

Post by minderadrian »

Hallo

Habs rausgefunden. Keine Antwort mehr nötig.

Gruss
Post Reply