Compare as cifras do serviço RabbitMQ do Appliance do vRealize Automation com a lista de cifras aceitáveis e desative todas aquelas consideradas fracas.

Desative pacotes de codificação que não ofereçam autenticação, como pacotes de codificação NULL, aNULL ou eNULL. Além disso, desative a troca de chaves Diffie-Hellman anônima (ADH), a codificação de nível de exportação (EXP, codificação contendo DES), os tamanhos de chave menores de 128 bits para criptografar tráfego de carga, o uso do MD5 como mecanismo de hashing para tráfego de carga, os pacotes de codificação IDEA e os pacotes de codificação RC4.

Procedimento

  1. Avalie os conjuntos de cifras compatíveis. executando o comando # /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().'.

    As cifras retornadas no exemplo a seguir representam somente as cifras compatíveis. O servidor do RabbitMQ não usa ou anuncia estas cifras exceto se configurado para tal no arquivo rabbitmq.config.

    ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
     "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
     "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",
     "ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",
     "DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",
     "DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
     "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
     "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
     "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
     "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
     "ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",
     "DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",
     "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
     "ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
     "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",
     "ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",
     "EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",
     "DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",
     "DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
     "ECDH-RSA-AES128-SHA","AES128-SHA"]
    
  2. Selecione as cifras compatíveis que atendem aos requisitos de segurança da sua organização.

    Por exemplo, para permitir somente ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384, abra o arquivo /etc/rabbitmq/rabbitmq.config e adicione a seguinte linha a ssl e ssl_options.

    {ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

  3. Reinicie o servidor do RabbitMQ usando o seguinte comando.

    service rabbitmq-server restart