SSLCipherSuites, ServerSignature Penetration Test
Posted: Mon Jan 06, 2014 10:01 am
Hallo alle zusammen
Nach einem Penetration Test muss ich nun einige "Löcher" stopfen.
1. ) php.ini "expose_php = On" auf "expose_php = Off" setzen. Hat funktioniert!
2.) Alias /phpmyadmin auf z.B. de45tuz67 setzen, dass niemand auf mein phpmyadmin kommt. Hat auch funktioniert!
3.) Per default unterstützt securewamp auch schwache SSLCipher Suites mit 40 und 56 Bit. Das darf nicht sein.
Also habe ich die ungefähr 20 *.conf files nach SSLCipherSuites durchsucht, gefunden und durch:
SSLCipherSuite -ALL:!ADH:!EXPORT56:+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL
ersetzt. Neu gestartet ==>unterstützt aber immer noch schwache Ciphers.
Dasselbe mit ServerSignature=On auf Off gesetzt. Trotzdem ServerSignature geht immer noch raus.
Wenn ich:
ServerSignature Off
ServerTokens Prod
SSLCipherSuite -ALL:!ADH:!EXPORT56:+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL
am Schluss eines jeden *.conf files anhänge funktionierte es einmal bei der zweiten neuaufsetzung startet der Apache wieder nicht mehr.
Also meine Frage:
Wie geht man da systematisch sauber vor im Dschungel der conf-files dass es funktioniert.
Viele Grüsse und ein Gutes neues Jahr an alle
Adrian Minder
Nach einem Penetration Test muss ich nun einige "Löcher" stopfen.
1. ) php.ini "expose_php = On" auf "expose_php = Off" setzen. Hat funktioniert!
2.) Alias /phpmyadmin auf z.B. de45tuz67 setzen, dass niemand auf mein phpmyadmin kommt. Hat auch funktioniert!
3.) Per default unterstützt securewamp auch schwache SSLCipher Suites mit 40 und 56 Bit. Das darf nicht sein.
Also habe ich die ungefähr 20 *.conf files nach SSLCipherSuites durchsucht, gefunden und durch:
SSLCipherSuite -ALL:!ADH:!EXPORT56:+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL
ersetzt. Neu gestartet ==>unterstützt aber immer noch schwache Ciphers.
Dasselbe mit ServerSignature=On auf Off gesetzt. Trotzdem ServerSignature geht immer noch raus.
Wenn ich:
ServerSignature Off
ServerTokens Prod
SSLCipherSuite -ALL:!ADH:!EXPORT56:+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL
am Schluss eines jeden *.conf files anhänge funktionierte es einmal bei der zweiten neuaufsetzung startet der Apache wieder nicht mehr.
Also meine Frage:
Wie geht man da systematisch sauber vor im Dschungel der conf-files dass es funktioniert.
Viele Grüsse und ein Gutes neues Jahr an alle
Adrian Minder