LoginSignup
4
2

More than 5 years have passed since last update.

CentOSAdvent Calendar 2017Day 21
@qiitamatumoto

CentOS7.xでuserminのSSLのセキュリティ対策

Last updated at Posted at 2015-07-22

改訂(2018/1/24) CentOS7.1からCentOS7.4用に改訂。

はじめに

CentOS7.4にusermin-1.730を導入してみたのですが、

usermin
http://www.webmin.com/rpm.html

SSLのセキュリティ対策を行ってみました。

補足:SSL-labの検査のために一時的に外部公開サーバとして設定しましたが、userminで取り扱う事ができる情報は機密性が高いと思われますので、常時外部公開はおすすめできません。極力内部ネットワークでの利用をお勧めします。

プロトコルの制限

SSLv2,SSLv3, TLS1.0はセキュリティ上の問題が指摘されています。

色々ググってみたのですが、ソースコードを読んだほうが早かったようです。

/usr/libexec/usermin/miniserv.pl

ソースを読むと、no_ssl3,no_ssl2,no_tls1という命令がありました。

暗号化方式

userminが対応している暗号化方式はApacheなどと比べて少ないようです。

暗号化方式をすべて有効(ssl_cipher_list=ALL)にして検査すると

https://www.ssllabs.com/ssltest/index.html
SSL Server Test

すべての暗号化方式にWEAK/INSECUREという判断になります。うぐぐ。

そのため、妥協が必要のようです。

いろいろ試しましたが、WEAKが残りますが、以下で妥協しました。

(ssl_cipher_listの所は各自環境に合わせて修正下さい。なお!RSAを指定すると通信できなくなりました。すべての暗号化方式がつぶされたのかな??)

/etc/usermin/miniserv.conf
---------------------
# add 2018.1.24
# ref: Source Code: /usr/libexec/usermin/miniserv.pl
no_ssl3=1
no_ssl2=1
no_tls1=1
ssl_cipher_list=HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!RC4:!3DES
#EOF

上記修正により、sslv2, sslv3, TLS1.0が無効になりました。

以上。

4
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
2