根据可接受的密码列表检查 vRealize Automation 设备控制台代理服务密码,并禁用所有弱密码。

关于此任务

禁用不提供身份验证的密码套件,如 NULL 密码套件、aNULL 或 eNULL。此外,禁用匿名 Diffie-Hellman 密钥交换 (ADH)、导出级别密码(EXP,包含 DES 的密码)、IDEA 密码套件和 RC4 密码套件,并禁止使用小于 128 位的密钥大小加密负载流量或将 MD5 用作负载流量的哈希机制。

过程

  1. 在文本编辑器中打开 /etc/vcac/security.properties 文件。
  2. 在文件中添加一行以禁用不需要的密码套件。

    使用以下行的变化形式:

    consoleproxy.ssl.ciphers.disallowed=cipher_suite_1, cipher_suite_2, 等

    例如,要禁用 AES 128 密码套件,请添加以下行:

    consoleproxy.ssl.ciphers.disallowed=TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
  3. 使用以下命令重新启动服务器。

    servicce vcac-server restart