改訂(2018/1/24) CentOS7.1からCentOS7.4用に改訂。
#はじめに
CentOS7.4にusermin-1.730を導入してみたのですが、
usermin
http://www.webmin.com/rpm.html
SSLのセキュリティ対策を行ってみました。
補足:SSL-labの検査のために一時的に外部公開サーバとして設定しましたが、userminで取り扱う事ができる情報は機密性が高いと思われますので、常時外部公開はおすすめできません。極力内部ネットワークでの利用をお勧めします。
#プロトコルの制限
SSLv2,SSLv3, TLS1.0はセキュリティ上の問題が指摘されています。
色々ググってみたのですが、ソースコードを読んだほうが早かったようです。
/usr/libexec/usermin/miniserv.pl
ソースを読むと、no_ssl3,no_ssl2,no_tls1という命令がありました。
#暗号化方式
userminが対応している暗号化方式はApacheなどと比べて少ないようです。
暗号化方式をすべて有効(ssl_cipher_list=ALL)にして検査すると
https://www.ssllabs.com/ssltest/index.html
SSL Server Test
すべての暗号化方式にWEAK/INSECUREという判断になります。うぐぐ。
そのため、妥協が必要のようです。
いろいろ試しましたが、WEAKが残りますが、以下で妥協しました。
(ssl_cipher_listの所は各自環境に合わせて修正下さい。なお!RSAを指定すると通信できなくなりました。すべての暗号化方式がつぶされたのかな??)
/etc/usermin/miniserv.conf
---------------------
# add 2018.1.24
# ref: Source Code: /usr/libexec/usermin/miniserv.pl
no_ssl3=1
no_ssl2=1
no_tls1=1
ssl_cipher_list=HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!RC4:!3DES
#EOF
上記修正により、sslv2, sslv3, TLS1.0が無効になりました。
以上。