Pour une sécurité maximale, vérifiez le bon usage des suites de chiffrement dans le gestionnaire Apache httpd.
Procédure
- Pour vérifier l'utilisation appropriée des suites de chiffrement dans Apache httpd, exécutez la commande grep SSLCipherSuite /usr/lib/vmware-vcopssuite/utilities/conf/vcops-apache.conf | grep -v '#' à partir de l'invite de commande.
Si Apache httpd utilise les bonnes suites de chiffrement, la commande renvoie la sortie suivante : SSLCipherSuite HIGH:!aNULL!ADH:!EXP:!MD5:!3DES:!CAMELLIA:!PSK:!SRP:!DH:!AES256-GCM-SHA384:!AES256-SHA256:!AES256-SHA:!AES128-GCM-SHA256:!AES128-SHA256:!AES128-SHA:@STRENGTH
- Pour configurer l'utilisation appropriée des suites de chiffrement, exécutez la commande sed -i "/^[^#]*SSLCipherSuite/ c\SSLCipherSuite HIGH:\!aNULL\!ADH:\!EXP:\!MD5:\!3DES:\!CAMELLIA:\!PSK:\!SRP:\!DH:\!AES256-GCM-SHA384:\!AES256-SHA256:\!AES256-SHA:\!AES128-GCM-SHA256:\!AES128-SHA256:\!AES128-SHA:@STRENGTH" /usr/lib/vmware-vcopssuite/utilities/conf/vcops-apache.conf à partir de l'invite de commande.
Exécutez cette commande si la sortie obtenue à l'étape 1 diffère de la sortie attendue.Cette commande désactive toutes les suites de chiffrement qui utilisent des méthodes d'échange de clés DH et DHE.
- Exécutez la commande /etc/init.d/apache2 restart à partir de l'invite de commande pour redémarrer le serveur Apache2.
- Pour réactiver DH, supprimez !DH des suites de chiffrement en exécutant la commande sed -i "/^[^#]*SSLCipherSuite/ c\SSLCipherSuite HIGH:\!aNULL\!ADH:\!EXP:\!MD5:\!3DES:\!CAMELLIA:\!PSK:\!SRP:\!AES256-GCM-SHA384:\!AES256-SHA256:\!AES256-SHA:\!AES128-GCM-SHA256:\!AES128-SHA256:\!AES128-SHA:@STRENGTH" /usr/lib/vmware-vcopssuite/utilities/conf/vcops-apache.conf à partir de l'invite de commande.
- Exécutez la commande systemctl restart httpd à partir de l'invite de commande pour redémarrer le serveur Apache2.