Pound on CentOS 5 での POODLE 対策ですね。
Pound 2.7 から設定にDisable PROTOが追加されたので、これで簡単に SSLv3.0 を無効にすることができます。
http://www.apsis.ch/pound
ここでは、CentOS 5 に Pound の SRPM から RPM を生成して、インストールします。
RPM 生成に必要なツールのインストール
開発ツールをインストールします。
$ sudo yum -y groupinstall 開発ツール
$ sudo yum -y install rpm-build yum-utils openssl-devel pkgconfig pcre-devel
Pound の SRPM から RPM を生成し、インストール
Pound 2.7 の SRPM を取得し、RPM を生成します。
$ wget http://www.invoca.ch/pub/packages/pound/RPMS/ils-5/SRPMS/pound-2.7-6.el5.src.rpm
$ sudo rpmbuild --rebuild pound-2.7-6.el5.src.rpm
$ ls /usr/src/redhat/RPMS/i386/pound-2.7-6.i386.rpm
/usr/src/redhat/RPMS/i386/pound-2.7-6.i386.rpm
生成した RPM をインストールします。
$ sudo rpm -ivh /usr/src/redhat/RPMS/i386/pound-2.7-6.i386.rpm
準備中... ########################################### [100%]
1:pound ########################################### [100%]
Pound を起動します。
$ sudo /sbin/service pound start
Starting pound: [ OK ]
SSLv3.0 を無効化
Pound 2.7 の設定ファイル(/etc/pound/pound.cfg)には、Disable SSLv3がデフォルトで指定されており、SSLv3.0 が無効化されています。
(snip)
ListenHTTPS
Address 0.0.0.0
Port 444
Cert "/etc/pki/pound/pound.pem"
Disable SSLv3 # <--- SSLv3.0 が無効
Ciphers "ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:-LOW"
xHTTP 1
End
(snip)
openssl コマンドで SSLv3.0 で接続すると、エラーになります。
$ openssl s_client -ssl3 -connect 127.0.0.1:444
CONNECTED(00000003)
6785:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1092:SSL alert number 40
6785:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:536:
TLSv1.0 であれば、接続可能です。
$ openssl s_client -tls1 -connect 127.0.0.1:444
CONNECTED(00000003)
depth=0 /C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=localhost.localdomain/emailAddress=root@localhost.localdomain
verify error:num=18:self signed certificate
verify return:1