那些遇到过的问题

尝试缓解 Apache 2.2.16 上的 Logjam

Joe*_*wis 7 openssl apache-2.2

我正在尝试按照此处的说明来缓解 logjam 漏洞,但是我不断从 appache 收到以下错误:

Syntax error on line 18 of /etc/apache2/sites-enabled/000-default:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.
Run Code Online (Sandbox Code Playgroud)

当我将以下行添加到配置中时: 

SSLOpenSSLConfCmd DHParameters /etc/ssl/certs/dhparams.pem
Run Code Online (Sandbox Code Playgroud)

我的应用程序详细信息是: 

Server version: Apache/2.2.16 (Debian)
Server built:   Oct 16 2014 10:27:58
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.4.2, APR-Util 1.3.9
Compiled using: APR 1.4.2, APR-Util 1.3.9
Architecture:   32-bit
Server MPM:     Prefork
  threaded:     no
    forked:     yes (variable process count)
Server compiled with....
 -D APACHE_MPM_DIR="server/mpm/prefork"
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=128
 -D HTTPD_ROOT="/etc/apache2"
 -D SUEXEC_BIN="/usr/lib/apache2/suexec"
 -D DEFAULT_PIDLOG="/var/run/apache2.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="mime.types"
 -D SERVER_CONFIG_FILE="apache2.conf"
Run Code Online (Sandbox Code Playgroud)

我一直在寻找,但找不到任何方法来解决这个问题。

gre*_*e83 8

还有 apache 2.2.22 (debian 7) 我也一一删除了有问题的密码,根据 qualys ssl 实验室测试https://www.ssllabs.com/ssltest/index.html现在通过,只有 WinXP / IE6不相容

我最终使用的密码:

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
Run Code Online (Sandbox Code Playgroud)

这是基于https://weakdh.org/sysadmin.html的建议,但删除了测试标记为有问题的 dh-ciphers

Cra*_*son 4

Apache文档来看,该SSLOpenSSLConfCmd选项是在2.4.8版本中添加的:

兼容性:如果使用 OpenSSL 1.0.2 或更高版本,则可在 httpd 2.4.8 及更高版本中使用

如果需要使用此选项,您将需要更新到更高版本的 Apache。

归档时间:

查看次数:

15288 次

最近记录:

10 年,7 月 前
如何修复 Apache (httpd) 中的“logjam”漏洞 56
更多相关链接
相关归档
在 Ubuntu 服务器上安装 openssl-dev 66
apache ssl - 无法获得本地颁发者证书 11
在 Apache 2.2.x 中禁用 SSL/TLS 压缩 10
如何通过分析apache日志来衡量req/sec 8
带有通配符的 Apache 命名虚拟主机 7
域的 Apache ServerAlias 通配符(例如 subdomain.*.com) 6
mod_nss 和 mod_ssl 有什么区别? 6
Apache 无法启动,没有错误消息 5
我可以在同一台服务器上运行 Apache 和 Nginx,在同一端口但绑定到不同的 IP 吗? 3
从 PHP 以 sudo 的形式安全地执行系统命令 1
难疑归档
如何以更少或更多的方式从文件末尾向后读取? 189
挂载 CIFS 主机已关闭 121
你能倒装网络交换机吗? 116
使用 wget 递归下载整个 FTP 目录 110
数百次失败的 ssh 登录 82
Puppet 不应该管理什么? 70
禁用应用程序池的空闲超时有什么危害吗? 56
为内部网络覆盖 BIND 中的一些 DNS 条目 55
如何更改 NGINX 用户? 52
php cli内存限制 52