根据可接受的密码列表检查 vRealize Automation 设备 HA 代理服务密码,并禁用所有弱密码。

关于此任务

禁用不提供身份验证的密码套件,如 NULL 密码套件、aNULL 或 eNULL。此外,禁用匿名 Diffie-Hellman 密钥交换 (ADH)、导出级别密码(EXP,包含 DES 的密码)、IDEA 密码套件和 RC4 密码套件,并禁止使用小于 128 位的密钥大小加密负载流量或将 MD5 用作负载流量的哈希机制。

过程

  1. 检查绑定指令的 /etc/haproxy/conf.d/20-vcac.cfg 文件密码条目,并禁用所有弱密码。

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. 检查绑定指令的 /etc/haproxy/conf.d/30-vro-config.cfg 文件密码条目,并禁用所有弱密码。

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10