ホーム
製品
Red Hat Satellite
6.5
Red Hat Satellite の管理
第7章強度の弱い暗号化の無効化

第7章強度の弱い暗号化の無効化

インフラストラクチャーのセキュリティー要件に応じて、Satellite の暗号化設定を変更したり、脆弱性を素早く修正したりする場合があります。以降のセクションを使用して、強度の弱い SSL 暗号化と 64 ビットの暗号スイートを無効にします。

7.1. 強度の弱い SSL 2.0 および SSL 3.0 暗号化の無効化
リンクのコピー

Satellite が SSL の脆弱性が原因で Nessus スキャンを失敗した場合、またはセキュリティーインフラストラクチャーで SSL 2.0 と SSL 3.0 の無効化が必要な場合には、/etc/foreman-installer/custom-hiera.yaml ファイルを編集して、強度の弱い暗号化を削除できます。

Satellite の強度の弱い SSL 2.0 および SSL 3.0 暗号化を無効にする手順

Satellite で強度の弱い暗号化を無効にするには、次の手順を実行します。

/etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。
```
vi /etc/foreman-installer/custom-hiera.yaml
```
```
# vi /etc/foreman-installer/custom-hiera.yaml
```
Copy to Clipboard Toggle word wrap

次のエントリーを追加します。

Foreman Proxy
Dynflow
Apache
Tomcat / Candlepin
QPID Dispatch

# Foreman Proxy
foreman_proxy::tls_disabled_versions: [ '1.1' ]

# Dynflow
foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ]

# Apache
apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ]

# Tomcat / Candlepin
candlepin::tls_versions: [ '1.2' ]

# QPID Dispatch
foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ]
foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'

Copy to Clipboard

Toggle word wrap

satellite-installer ツールを引数なしで再実行します。
```
satellite-installer --scenario satellite
```
```
# satellite-installer --scenario satellite
```
Copy to Clipboard Toggle word wrap
Katello サービスを再起動します。
```
katello-service restart
```
```
# katello-service restart
```
Copy to Clipboard Toggle word wrap

Capsule の強度の弱い SSL 2.0 および SSL 3.0 暗号化を無効にする手順

Capsule の強度の弱い暗号化を無効にするには、次の手順を実行します。

/etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。
```
vi /etc/foreman-installer/custom-hiera.yaml
```
```
# vi /etc/foreman-installer/custom-hiera.yaml
```
Copy to Clipboard Toggle word wrap

次のエントリーを追加します。

Foreman Proxy
Dynflow
Apache
QPID Dispatch
PULP

# Foreman Proxy
foreman_proxy::tls_disabled_versions: [ '1.1' ]

# Dynflow
foreman_proxy::plugin::dynflow::tls_disabled_versions: [ '1.1' ]

# Apache
apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ]

# QPID Dispatch
foreman_proxy_content::qpid_router_ssl_protocols: [ 'TLSv1.2' ]
foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'

# PULP
pulp::ssl_protocol: "ALL -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2"

Copy to Clipboard

Toggle word wrap

satellite-installer ツールを引数なしで再実行します。
```
satellite-installer --scenario capsule
```
```
# satellite-installer --scenario capsule
```
Copy to Clipboard Toggle word wrap
Katello サービスを再起動します。
```
katello-service restart
```
```
# katello-service restart
```
Copy to Clipboard Toggle word wrap

7.2. 64 ビットブロックサイズ暗号スイート (SWEET32) の無効化
リンクのコピー

Satellite の暗号スイートを更新する場合は、暗号を編集してから、/etc/foreman-installer/custom-hiera.yaml ファイルに変更を加え、これらの変更を永続化します。

暗号スイートを更新するには、次の手順を使用できます。

BZ#1586271 が解決されるまで、SSL 64 ビットブロックサイズ暗号スイート (SWEET32) を無効にすることをお勧めします。ただし、以下の手順を使用して、他の暗号を更新し、これらの変更を永続化することもできます。

以下の暗号のブラウザー最小要件は、Firefox 27 です。

/etc/httpd/conf.d/ssl.conf Apache 設定ファイルを開いて、編集します。
```
vi /etc/httpd/conf.d/ssl.conf
```
```
# vi /etc/httpd/conf.d/ssl.conf
```
Copy to Clipboard Toggle word wrap

SSLCipherSuite パラメーターの値を更新します。

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Copy to Clipboard

Toggle word wrap

httpd サービスを再起動します。
```
systemctl restart httpd
```
```
# systemctl restart httpd
```
Copy to Clipboard Toggle word wrap
別の satellite-installer 実行で変更を永続化するには、/etc/foreman-installer/custom-hiera.yaml ファイルを開いて、編集します。
```
vi /etc/foreman-installer/custom-hiera.yaml
```
```
# vi /etc/foreman-installer/custom-hiera.yaml
```
Copy to Clipboard Toggle word wrap

apache の次のエントリーを追加します。

apache::mod::ssl::ssl_cipher: ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

apache::mod::ssl::ssl_cipher: ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Copy to Clipboard

Toggle word wrap

satellite-installer ツールを実行して、Apache の設定を変更します。
```
satellite-installer -S satellite
```
```
# satellite-installer -S satellite
```
Copy to Clipboard Toggle word wrap

トップに戻る

第7章強度の弱い暗号化の無効化

7.1. 強度の弱い SSL 2.0 および SSL 3.0 暗号化の無効化
リンクのコピー

7.2. 64 ビットブロックサイズ暗号スイート (SWEET32) の無効化
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第7章 強度の弱い暗号化の無効化

7.1. 強度の弱い SSL 2.0 および SSL 3.0 暗号化の無効化リンクのコピーリンクがクリップボードにコピーされました!

7.2. 64 ビットブロックサイズ暗号スイート (SWEET32) の無効化リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第7章強度の弱い暗号化の無効化

7.1. 強度の弱い SSL 2.0 および SSL 3.0 暗号化の無効化
リンクのコピー

7.2. 64 ビットブロックサイズ暗号スイート (SWEET32) の無効化
リンクのコピー