那些遇到过的问题

如何修复 OpenVPN 服务器配置中的 Logjam 漏洞?

Ser*_*ier 6 openvpn tls logjam

在撰写本文时(第 2 天),关于如何缓解 Apache 和其他 Web 服务器的 Logjam 的准确指南很少,例如此页面:

https://weakdh.org/sysadmin.html

OpenVPN 服务器的类似说明是什么?

OpenVPN 是否受到影响?(我想是的,因为它是 TLS 协议问题)。

小智 8

这些攻击仅以非常有限的方式影响 OpenVPN,因为:

  1. OpenVPN 鼓励用户使用“openssl dhparam”生成他们自己的 DH 组,而不是使用公共组。手册页/示例用于提供 1024 位 DH 密钥(最近更新为 2048),尽管可以破坏 1024 位 dh 参数,但仍然非常昂贵。如果您不与其他人共享该组,那么您的数据可能太贵了。
  2. OpenVPN 不支持 EXPORT DH 参数,因此 TLS 回滚攻击不适用于 OpenVPN。

为了安全起见,请使用至少 2048 位的 DH 参数。更新 DH 参数很容易,只需要在服务器上进行更改。使用例如生成新参数

$ openssl dhparam -out dh3072.pem 3072
Run Code Online (Sandbox Code Playgroud)

然后更新您的服务器配置以使用这些新参数

dh dh3072.pem
Run Code Online (Sandbox Code Playgroud)

并重新启动服务器。

归档时间:

查看次数:

1254 次

最近记录:

10 年,5 月 前
相关归档
TLS 握手失败。不包含任何 IP SAN 41
在服务器机器上登录 VPN 后防止 SSH 连接丢失 19
如何在非特权 LXC 容器中创建 /dev/tun 设备? 11
与 Apache/SSL 的 OpenVPN 端口共享 9
OpenVPN:在 OVPN 文件中使用相对路径的正确方法 8
在 Ubuntu 16.04 下无法连接到 OpenVPN 服务器 6
OpenVPN 客户端已连接但无法访问互联网 5
通过 VPN 访问托管在与 VPN 相同的服务器上的网站 5
如何将 SSL/TLS 连接限制为至少 128 位加密? 4
最好的点对点 VPN? 1
难疑归档
反向代理时让 nginx 传递上游的主机名 122
SFTP日志记录:有办法吗? 101
GPG 没有足够的熵 94
scp 没有 known_hosts 检查 76
以前的 IT 工作者可能留下了一些后门。我怎样才能消除它们? 68
如何在 Debian 系统上检查修改的配置文件? 68
为什么 Heroku 会针对“裸”域名发出警告? 66
阻止 IP 地址范围 65
如何挂载 VirtualBox 共享文件夹? 58
Windows 管理员离不开的工具 53